這次攻擊手法更隱蔽,也給關注開源安全的開發者一個可以一起看的背景。
Arch Linux AUR再遭惡意攻擊 事件脈絡與關鍵事實
儘管目前風險已初步控制,但事件凸顯AUR這類開放貢獻平台的安全漏洞。官方建議使用者近期避免隨意更新,安裝AUR套件前應手動審查PKGBUILD檔案,以降低風險。團隊正研議強化預先提交的審核機制,防止類似事件重演。
事實
- 2026年6月12日,Arch Linux AUR遭遇史上最大規模惡意投毒,超過1500個套件受影響。
- 清理完成24小時內,6月13日晚出現第二波攻擊,使用更複雜的代碼混淆技術。
- 受影響項目包括Node.js套件、Plasma 6小工具、Firefox相關包、Aura瀏覽器與NeoVim插件。
- 開發者a821與Nicolas Boichat先後發現新一波惡意包,其中部分藏於Bun命令執行流中。
- AUR維護團隊已清除所有已知惡意套件,重置提交並封禁帳號,正研議強化預審機制。
- 官方建議使用者近期謹慎更新,安裝前應手動審查PKGBUILD檔案。
Canto 的視覺新聞解說。製作過程可能有 AI 輔助。 編輯政策
