惡意應用侵入Arch使用者軟體倉庫 - 如何保護自己

軟體供應鏈管理公司Sonatype的研究人員發現，Arch使用者軟體倉庫（AUR）中包含了大約1500個惡意軟體包，這一發現於6月12日更新的部落格文章中公佈。Arch團隊在一份簡短宣告中表示：“我們繼續鼓勵所有AUR包的使用者在更新時審查所有PKGBUILD和安裝指令碼的變化，尤其是現在。如果發現您使用的包有可疑提交，請透過aur-general郵件列表聯絡Arch工作人員。”

AUR旨在為Arch（及衍生版）使用者大大增加可用軟體數量，但任何人都可以向其上傳包，由一群Trusted Users負責監督。想象一下，您是一名志願者Trusted Users，負責檢查每個提交的應用；而惡意行為者則可能透過混淆程式碼輕鬆繞過檢查。一週內就有約1500個惡意應用混入倉庫，這迫使必須做出改變，否則AUR將失去信任。目前尚無關於這些惡意應用具體行為或提交者的報告。

對Arch使用者，我有以下建議：

首先，解除安裝所有從AUR安裝的軟體，希望為時未晚。可使用命令sudo pacman -R 包名移除包，然後用pacman -Q確認已解除安裝。

其次，停止使用AUR，直到開發者找到解決方案。之後，使用Wireshark等工具檢查可疑出站流量，如發現異常，立即阻止或重灌系統。

作為替代，安裝Flatpak：sudo pacman -S flatpak，然後新增Flathub倉庫：flatpak remote-add --if-not-exists --user flathub https://dl.flathub.org/repo/flathub.flatpakrepo，即可安裝所需應用，包括Spotify、Slack等專有軟體。

惡意行為者破壞了一個好平臺。Arch Linux本身非常安全，但AUR是另一回事。要解決此問題，AUR需要更好的軟體完整性驗證系統。五年前的Reddit帖子已指出使用者需自行檢查每個包，但這對新使用者不友好。如果不採取措施，AUR將淪為廢地。