7月16日(UTC+2时间晚8点),Arch Linux用户仓库(AUR)突现恶意软件包。攻击者分两批上传了三个伪装成浏览器优化工具的程序包,实际暗藏 远程访问木马(RAT) ,可完全控制用户设备。涉事软件包为:

  • librewolf-fix-bin
  • firefox-patch-bin
  • zen-browser-patched-bin

攻击手法解析
据Arch Linux安全团队披露,这些软件包均指向同一GitHub仓库,安装时会自动下载并执行恶意脚本。该RAT可实现:

  1. 远程操控用户系统
  2. 窃取敏感数据(如密码、密钥)
  3. 植入持久化后门

响应与处置
Arch团队在接到警报后紧急行动:
✅ 48小时内清除污染源(7月18日UTC+2时间晚6点完成删除)
✅ 冻结攻击者账户(用户名为Quentin MICHAUD)
✅ 发布全球安全警报(覆盖超百万Arch用户)

用户应对指南

  1. 立即检查系统:若安装上述任一软件包,须彻底卸载
  2. 终端扫描指令pacman -Q | grep -E "librewolf-fix-bin|firefox-patch-bin|zen-browser-patched-bin"
  3. 强制安全措施
    • 更换SSH密钥及系统密码
    • 审查近期登录记录
    • 使用ClamAV等工具深度扫描

消息来源:

http://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/7EZTJXLIAQLARQNTMEW2HBWZYE626IFJ/

https://www.solidot.org/story?sid=81851