浙江
Arch 用戶倉(cāng)庫(kù)(Arch User Repository,簡(jiǎn)稱 AUR)是由社區(qū)驅(qū)動(dòng)的第三方軟件源,為 Arch Linux 及其衍生發(fā)行版提供海量軟件,一直被視為使用 Arch 的一大優(yōu)勢(shì)。 然而,Arch 社區(qū)近日披露,多個(gè)可疑賬號(hào)向部分 AUR 軟件包提交惡意修改,在安裝受影響應(yīng)用時(shí)暗中引入 NPM 包管理器,并進(jìn)一步安裝鍵盤記錄器或信息竊取類惡意軟件,引發(fā)供應(yīng)鏈安全警報(bào)。
根據(jù) Arch Linux 公布的事件說(shuō)明以及 AUR 公共郵件列表的討論,這一事件中共有 400 余個(gè)軟件包被社區(qū)成員和維護(hù)者識(shí)別為存在惡意代碼注入問(wèn)題,目前已被集中排查和處置。 官方尚未表示這些軟件包已全部直接刪除,但負(fù)責(zé)維護(hù)工作的初級(jí)軟件包維護(hù)者 Jonathan Grotelüschen 在郵件列表中表示,維護(hù)團(tuán)隊(duì)正在“努力重置或刪除所有惡意提交并封禁相關(guān)賬號(hào)”。
目前攻擊者身份尚不明朗,尚無(wú)法確認(rèn)這些惡意提交來(lái)自單一攻擊者還是多個(gè)不法用戶。 事件暴露出 AUR 作為高度開放的社區(qū)倉(cāng)庫(kù),在賬號(hào)管控、包維護(hù)權(quán)移交以及提交審核等環(huán)節(jié)存在被利用空間,尤其是被“收養(yǎng)”的孤兒軟件包更容易在無(wú)人嚴(yán)密關(guān)注的情況下被植入惡意代碼。
鑒于此次事件的影響范圍和調(diào)查仍在進(jìn)行中,有 Arch Linux 及其衍生發(fā)行版用戶的安全專家建議,在清理工作徹底完成、官方進(jìn)一步確認(rèn)前,用戶應(yīng)謹(jǐn)慎更新系統(tǒng),特別是在已安裝 AUR 軟件包的情況下盡量暫緩升級(jí)。 對(duì)依賴 AUR 的用戶而言,除關(guān)注后續(xù)來(lái)自 Arch 官方與社區(qū)的通報(bào)外,也應(yīng)盡快排查系統(tǒng)中安裝的軟件包是否包含在此次被點(diǎn)名的惡意列表中,并視情況采取卸載或重新部署等風(fēng)險(xiǎn)緩解措施。
本次事件再次凸顯開源社區(qū)軟件供應(yīng)鏈的安全挑戰(zhàn):一方面,開放生態(tài)在軟件可用性和更新速度上具有顯著優(yōu)勢(shì);另一方面,若缺乏足夠的審核和監(jiān)控機(jī)制,惡意代碼也可能借助社區(qū)信任而潛入最終用戶系統(tǒng)。 Arch 社區(qū)后續(xù)如何在維持 AUR 開放性的同時(shí)強(qiáng)化賬號(hào)與提交審查、提升惡意更改發(fā)現(xiàn)效率,將成為行業(yè)觀察的焦點(diǎn)之一。
https://lists.archlinux.org/archives/list/aur-general@lists.archlinux.org/thread/FGXPCB3ZVCJIV7FX323SBAX2JHYB7ZS4/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
