刚清完1500个毒包！Arch Linux AUR再遭恶意攻击：Node.js、浏览器插件纷纷中招

Arch Linux AUR 6月12日刚遭遇了其历史上最大规模的恶意软件投毒：超1500个软件包被植入窃密程序。

就在开发者宣布清理完毕的24小时内，AUR再次遭到攻击。新一轮攻击采用代码混淆技术，恶意行为更加隐蔽。

开发者a821在6月13日晚报告发现新一批被污染包。多个Node.js软件包、一个Plasma 6小程序、部分Firefox相关包、Aura浏览器，以及一个NeoVim插件，均检测出经过混淆的恶意代码。

不久后，开发者Nicolas Boichat利用本地运行的Gemma E2B AI模型，发现了更隐蔽的新一波恶意包。

这批攻击将恶意逻辑穿插在Bun命令执行流中，混淆手法比第一波更复杂。发现问题后，维护团队很快处理了所有已知受影响的包，但第二波攻击仍引起社区警觉。

目前受影响软件包已被清理，AUR维护团队已重置所有恶意提交并封禁相关账号，正研究加强预提交安全审核机制。

日常使用yay等AUR助手直接安装包的用户面临较高风险，建议近期谨慎更新，安装前手动审查PKGBUILD文件。