Arch Linux用户仓库遭恶意软件入侵

 
2025年7月16日（UTC+2时间晚8点），Arch Linux用户仓库（AUR）突现恶意软件包。攻击者分两批上传了三个伪装成浏览器优化工具的程序包，实际暗藏 远程访问木马（RAT） ，可完全控制用户设备。涉事软件包为：

    librewolf-fix-bin
    firefox-patch-bin
    zen-browser-patched-bin

攻击手法解析
据Arch Linux安全团队披露，这些软件包均指向同一GitHub仓库，安装时会自动下载并执行恶意脚本。该RAT可实现：

    远程操控用户系统
    窃取敏感数据（如密码、密钥）
    植入持久化后门

响应与处置
Arch团队在接到警报后紧急行动：
✅ 48小时内清除污染源（7月18日UTC+2时间晚6点完成删除）
✅ 冻结攻击者账户（用户名为Quentin MICHAUD）
✅ 发布全球安全警报（覆盖超百万Arch用户）

用户应对指南

    立即检查系统：若安装上述任一软件包，须彻底卸载
    终端扫描指令：pacman -Q | grep -E "librewolf-fix-bin|firefox-patch-bin|zen-browser-patched-bin"
    强制安全措施：
        更换SSH密钥及系统密码
        审查近期登录记录
        使用ClamAV等工具深度扫描

消息来源：

http://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/