Arch Linux AUR爆供應鏈攻擊，孤兒套件遭接手散布惡意程式

The Hacker News報導指出，社群已盤點超過400個AUR套件遭接手並竄改建置腳本，Arch Linux官方套件庫未受影響。Sonatype後續更新指出，相關活動可能已擴大為多次攻擊，初步估計受影響套件總數可能接近1,500個，且調查仍在進行。

根據NPM套件安全平臺Socket安全分析報告頁面顯示，NPM安全團隊已將包含惡意程式碼的atomic-lockfile 1.4.2版自NPM套件登錄庫移除；目前Socket列出的是安全保留版本0.0.1-security。Sonatype指出，6月12日又出現第二波活動，部分遭竄改的AUR套件改用Bun安裝路徑，並透過js-digest、lockfile-js等惡意套件散布酬載，顯示攻擊者已更換安裝路徑與惡意依賴組合。

獨立研究人員Whanos分析，惡意程式主要鎖定開發者工作站與建置環境，可蒐集Slack、Microsoft Teams等協作與通訊軟體資料，以及GitHub、NPM、HashiCorp Vault權杖、SSH金鑰、Docker／Podman憑證，還包括VPN設定檔。

The Hacker News引述研究分析提醒，曾執行相關酬載的主機應視為憑證可能外洩，並全面輪替帳號憑證、權杖與金鑰。Arch Linux社群維護者表示，正陸續重設或刪除惡意提交，並封鎖涉案帳號。