惡意應用侵入Arch用户軟件倉庫 - 如何保護自己

軟件供應鏈管理公司Sonatype的研究人員發現，Arch用户軟件倉庫（AUR）中包含了大約1500個惡意軟件包，這一發現於6月12日更新的博客文章中公佈。Arch團隊在一份簡短聲明中表示：“我們繼續鼓勵所有AUR包的用户在更新時審查所有PKGBUILD和安裝腳本的變化，尤其是現在。如果發現您使用的包有可疑提交，請通過aur-general郵件列表聯繫Arch工作人員。”

AUR旨在為Arch（及衍生版）用户大大增加可用軟件數量，但任何人都可以向其上傳包，由一羣Trusted Users負責監督。想象一下，您是一名志願者Trusted Users，負責檢查每個提交的應用；而惡意行為者則可能通過混淆代碼輕鬆繞過檢查。一週內就有約1500個惡意應用混入倉庫，這迫使必須做出改變，否則AUR將失去信任。目前尚無關於這些惡意應用具體行為或提交者的報告。

對Arch用户，我有以下建議：

首先，卸載所有從AUR安裝的軟件，希望為時未晚。可使用命令sudo pacman -R 包名移除包，然後用pacman -Q確認已卸載。

其次，停止使用AUR，直到開發者找到解決方案。之後，使用Wireshark等工具檢查可疑出站流量，如發現異常，立即阻止或重裝系統。

作為替代，安裝Flatpak：sudo pacman -S flatpak，然後添加Flathub倉庫：flatpak remote-add --if-not-exists --user flathub https://dl.flathub.org/repo/flathub.flatpakrepo，即可安裝所需應用，包括Spotify、Slack等專有軟件。

惡意行為者破壞了一個好平台。Arch Linux本身非常安全，但AUR是另一回事。要解決此問題，AUR需要更好的軟件完整性驗證系統。五年前的Reddit帖子已指出用户需自行檢查每個包，但這對新用户不友好。如果不採取措施，AUR將淪為廢地。