AUR 大量孤儿包被投毒
近日,有大量 AUR 孤儿包被多名新注册用户接管,并增加 npm 依赖、在安装时通过安装脚本(
一旦安装有问题的软件包,恶意代码将以 root 权限安装并运行,收集至少包括浏览器、Shell 命令历史记录、各种应用程序中的凭据等信息,并将其上传。恶意代码也会利用 ebpf 程序隐藏自身。建议受影响的用户重装系统并重置所有网络账户密码和各类密钥、凭据。
如果 pacman.log 表明未曾安装过 npm、或者在多天以前已经卸载 npm,则应当未受影响。
用户从 AUR 安装软件时请注意审阅构建脚本。另外及时卸载从官方仓库移出的、不再需要的依赖包,比如
另:[archlinuxcn] 仓库中的包未受影响。感谢 chaotic-aur 的通知。
aur-general 邮件列表的相关讨论之一: https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
一份供参考的分析报告: https://ioctl.fail/preliminary-analysis-of-aur-malware/
近日,有大量 AUR 孤儿包被多名新注册用户接管,并增加 npm 依赖、在安装时通过安装脚本(
.install)或者 pacman hook 执行 # npm install atomic-lockfile 操作以运行恶意代码。该 atomic-lockfile 包亦是于近日上传至 npm registry。一旦安装有问题的软件包,恶意代码将以 root 权限安装并运行,收集至少包括浏览器、Shell 命令历史记录、各种应用程序中的凭据等信息,并将其上传。恶意代码也会利用 ebpf 程序隐藏自身。建议受影响的用户重装系统并重置所有网络账户密码和各类密钥、凭据。
如果 pacman.log 表明未曾安装过 npm、或者在多天以前已经卸载 npm,则应当未受影响。
用户从 AUR 安装软件时请注意审阅构建脚本。另外及时卸载从官方仓库移出的、不再需要的依赖包,比如
libgdata。另:[archlinuxcn] 仓库中的包未受影响。感谢 chaotic-aur 的通知。
aur-general 邮件列表的相关讨论之一: https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
一份供参考的分析报告: https://ioctl.fail/preliminary-analysis-of-aur-malware/
