Arch Linux AUR遭大规模恶意投毒，三波攻击叠

先说几个关键事实。2026年6月15日，Arch Linux社区对外通报了一起极其罕见的安全事件——AUR仓库在三天前（6月12日）遭到了建库以来规模最大的恶意软件投毒攻击，超过1500个软件包被秘密植入了窃密代码。而更令人不安的是，当维护团队刚刚宣布完成第一轮清理后，攻击者在不到24小时内就发动了第二轮入侵。

这已经不是简单的“发现一批木马、清理一批”就完事的故事。攻击者在后续行动中全面启用了代码混淆技术，让检测难度显著提升。6月13日晚间，开发者a821率先揪出一批受污染软件包，涉及多个Node.js工具、一个Plasma 6桌面小程序、若干Firefox扩展、Aura浏览器以及一个NeoVim插件。所有样本无一例外，都嵌入了深度混淆的恶意逻辑。

紧接着，开发者Nicolas Boichat利用本地部署的Gemma E2B人工智能模型，挖掘出第三批次、更加隐蔽的恶意软件。这批攻击将恶意命令巧妙塞进Bun运行时的命令执行流程里，其混淆层级和行为伪装程度，都比首轮攻击明显上了一个台阶。换句话说，攻击者在第一次尝试被阻断后，非但没有收手，反而升级了战术。

维护团队的反应算是相当迅速——全面下架并清理了所有已确认的受污染软件包，重置了恶意提交记录，并对涉事账户实施了永久封禁。但真正的挑战才刚刚开始：目前团队的重点正转向预提交安全审核机制的强化方案，目标是从源头上系统性提升代码入库前的风险识别能力。

关键要提醒的是，依赖yay这类AUR辅助工具进行一键安装的用户，在这场风波中的暴露风险显然更高。一个比较务实的建议是：近期尽量暂缓非必要的更新操作。如果你确实需要安装某个AUR软件包，务必在执行安装前人工审阅它的PKGBUILD脚本——有没有异常指令？有没有可疑的网络调用？确认无误后再动手。在供应链攻击越来越“精细化”的今天，这份谨慎并不多余。