恶意应用侵入Arch用户软件仓库 - 如何保护自己

软件供应链管理公司Sonatype的研究人员发现，Arch用户软件仓库（AUR）中包含了大约1500个恶意软件包，这一发现于6月12日更新的博客文章中公布。Arch团队在一份简短声明中表示：“我们继续鼓励所有AUR包的用户在更新时审查所有PKGBUILD和安装脚本的变化，尤其是现在。如果发现您使用的包有可疑提交，请通过aur-general邮件列表联系Arch工作人员。”

AUR旨在为Arch（及衍生版）用户大大增加可用软件数量，但任何人都可以向其上传包，由一群Trusted Users负责监督。想象一下，您是一名志愿者Trusted Users，负责检查每个提交的应用；而恶意行为者则可能通过混淆代码轻松绕过检查。一周内就有约1500个恶意应用混入仓库，这迫使必须做出改变，否则AUR将失去信任。目前尚无关于这些恶意应用具体行为或提交者的报告。

对Arch用户，我有以下建议：

首先，卸载所有从AUR安装的软件，希望为时未晚。可使用命令sudo pacman -R 包名移除包，然后用pacman -Q确认已卸载。

其次，停止使用AUR，直到开发者找到解决方案。之后，使用Wireshark等工具检查可疑出站流量，如发现异常，立即阻止或重装系统。

作为替代，安装Flatpak：sudo pacman -S flatpak，然后添加Flathub仓库：flatpak remote-add --if-not-exists --user flathub https://dl.flathub.org/repo/flathub.flatpakrepo，即可安装所需应用，包括Spotify、Slack等专有软件。

恶意行为者破坏了一个好平台。Arch Linux本身非常安全，但AUR是另一回事。要解决此问题，AUR需要更好的软件完整性验证系统。五年前的Reddit帖子已指出用户需自行检查每个包，但这对新用户不友好。如果不采取措施，AUR将沦为废地。