Arch Linux 暂停 AUR 新用户注册，审核发现超 1500 个软件包遭投毒

IT之家 6 月 16 日消息，科技媒体 Linuxiac 昨日（6 月 15 日）发布博文，报道称 Arch Linux 正在处置近年来 AUR 最严重的安全事件之一。IT之家曾于 13 日报道，Arch Linux 项目用户仓库 AUR 遭到恶意攻击，超 400 个软件包被投毒，所有编译这些软件包的电脑都有可能被植入恶意程序。Arch Linux 维护团队目前整推进 AUR 清理工作，相关服务依然在线运行，用户依旧能访问并获取软件包，但官方已关闭新账号注册入口，注册页面返回 503 错误。公开统计显示，AUR 当前收录 107405 个软件包，其中 13051 个属于孤立软件包（是指已经存在于 AUR 中，但当前没有维护者负责更新和管理的软件包）。平台过去 7 天内新增 273 个软件包，更新 5575 个软件包，注册用户总数达到 141968 人。如此高频的流转速度，让异常更新难以第一时间全部识别。事件影响范围已远超预期，早期公开信息提到，受影响软件包超过 400 个，随后社区追踪数字又升至超过 1500 个。维护者还在继续审计受影响软件包，并移除其中的恶意修改。对普通用户来说，最直接的防护方法仍是安装或更新前仔细检查 PKGBUILD 文件与安装脚本，尤其要留意近期刚更换维护者或突然收到更新的软件包。AUR 是 Arch Linux 社区维护的软件包平台，收录大量官方仓库之外的软件包，用户可在这里获取脚本，自行构建并安装软件。它极大扩展了软件选择，但因内容主要来自社区贡献，安全性更依赖维护者信誉与用户自查能力。相关阅读：《Arch Linux 项目用户软件仓库 AUR 遭恶意攻击，400+ 项目被投毒》