Arch AUR 再遭恶意包投毒
推荐指数 53.0 NO. 025 · 2026.06.16
发布2026/06/15
为什么值得看
Arch Linux 用户仓库 AUR 再次被发现恶意软件包,攻击者通过上传伪装成合法软件的包来感染用户系统。这是 AUR 年内第二次大规模安全事件,使用 Arch 及其衍生发行版的开发者需立即检查近期安装包来源。
媒体预览
编辑判断
AUR 作为社区驱动仓库缺乏官方审核机制,这次攻击利用的是用户信任链的薄弱环节。与 Debian 的 APT 或 Fedora 的 COPR 相比,AUR 的 PKGBUILD 脚本在构建时直接执行任意代码,风险面更大。
如果你或团队在用 Manjaro、EndeavourOS 等 Arch 衍生版,建议立即审计 ~/.cache/yay/ 或 ~/.cache/paru/ 目录下的构建历史,并考虑对生产环境切换到官方仓库签名的包。供应链安全工具如 SLSA 在 Linux 发行版层面的落地仍然滞后,这是被低估的基建风险。