

攻击者本周控制了Arch用户软件仓库(AUR)中400余个软件包,通过篡改构建脚本在编译主机上植入凭证窃取程序。该恶意程序为Rust编写的二进制文件,主要窃取开发者机密信息。当获取root权限时,还会加载eBPF rootkit实现自我隐藏。AUR作为Arch Linux的社区软件集合,独立于官方软件仓库,后者未受影响。
若您在6月11日或之后安装/更新过AUR软件包,请对照当前受影响软件列表进行核查。已知名单规模庞大且持续增加,目前尚未完整。此次攻击针对信任模型而非软件漏洞——被劫持软件包保留原有名称、历史记录及既有信任关系,仅构建指令遭篡改。陷阱隐藏在构建方案中,使得软件包外观与用户预期安装的完全一致,既非漏洞利用也非0Day攻击,且无证据表明Arch官方系统遭入侵。
攻击者通过接管废弃软件包并修改构建文件,诱使用户代为执行恶意负载。Sonatype公司将此次行动命名为"Atomic Arch",发现攻击者专门针对"孤儿项目"(即维护者已弃管的软件包)。他们还伪造git提交元数据,使修改看似来自长期维护者(后经Arch Linux可信用户确认该账户从未失陷)。
Part01
独立研究员Whanos逆向分析发现,deps负载实为针对开发者工作站和构建系统的Rust凭证窃取器,可收集:
窃取数据通过HTTP发送至temp.sh,命令控制则经由本地回环代理连接Tor洋葱服务。为实现持久化,该程序会注册Restart=always的systemd服务:root权限下复制至/var/lib/并创建/etc/systemd/system/单元;普通用户权限下则使用主目录及~/.config/systemd/user/单元。
关于eBPF rootkit存在误读——它仅在二进制文件已获root权限且具备相应能力时才会加载,并非用于提权。激活后通过名为hidden_pids/hidden_names/hidden_inodes的固定BPF映射,隐藏自身进程、进程名及套接字inode,并阻止调试器附加。这使得常规清理手段失效:单纯移除AUR软件包不足以保证系统洁净,因rootkit可能已驻留。
该二进制还释放与monero-wallet-gui关联的次级文件,分析认为可能是未经验证的加密货币挖矿程序。信息窃取器与eBPF rootkit的组合实属罕见,值得高度警惕。
Part02
Sonatype最初报告20余个被劫持软件包,24小时内社区追踪者和Arch aur-general讨论串已确认超400个(通过grep搜索AUR git镜像统计约408个)。atomic-lockfile npm包在被下架前每周仅134次下载,表明主要威胁来自AUR构建路径而非npm安装。
第二波攻击改用bun install js-digest,源自与atomic-lockfile关联的npm发布者另一组账户。其负载为不同哈希值的ELF文件,同样被社区标记为恶意。当前传播规模仍在统计中,需同时检查atomic-lockfile与js-digest相关痕迹。
Part03
当加载器运行时,它完全在计算机内存中解码有效载荷,意味着最终恶意程序不会写入硬盘。这种内存驻留技术是已知的规避安全软件检测的战术,这些安全软件通常监控磁盘上的文件活动。研究人员指出,GoFlateLoader使用Go的syscall.Syscall函数作为传输机制,并硬编码虚拟参数,这种异常行为模式可作为有效的检测标记。
Arch维护者正重置恶意提交、封禁相关账户,并呼吁用户通过邮件列表持续报告可疑软件包。鉴于受影响列表不完整,建议采取以下措施:
主负载SHA-256为6144d433f8a0316869877b5f834c801251bbb936e5f1577c5680878c7443c98b,完整IoC集详见ioctl.fail分析报告。
此次攻击与2018年PDF阅读器软件包劫持事件手法类似,但规模显著扩大,属于利用废弃项目继承信任(而非域名仿冒)的供应链攻击新趋势。
目前尚未分配CVE编号,Sonatype将其追踪为Sonatype-2026-003775(CVSS 8.7)。事件暴露出AUR仍过度依赖软件包名称和历史记录,而非当前维护者可信度——对于近期易主或突然新增安装钩子的软件包,应保持与陌生来源同等的警惕。
参考来源:
Over 400 Arch Linux AUR Packages Hijacked to Deploy Infostealer and eBPF Rootkit
https://thehackernews.com/2026/06/over-400-arch-linux-aur-packages.html



