由用户递交的软件仓库 Arch User Repository(AUR)最近遭遇了大规模恶意攻击,攻击者创建了一系列新账号,然后通过这些账号接管无人维护的软件包(被称为 orphaned packages),植入恶意代码,推送恶意更新。Arch 项目的维护者现已关闭了新用户注册,正在讨论如何处理这些被恶意滥用的无人维护软件包。AUR 中的软件包由用户递交,其他用户可通过搜索下载 PKGBUILD 文件、解依、编译、安装和更新软件。它不提供软件的二进制版本。目前 AUR 中有逾 107,000 个软件包,其中近 14,000 个无人维护可供认领。任何注册用户都可以认领和修改无人维护的软件包。它提供的软件包未经审核,风险由用户自己承担。其它 Linux 发行版也都有类似的软件仓库,如 Fedora 的 Copr,openSUSE 的 Open Build Service (OBS),Ubuntu 的 Personal Package Archives (PPA)。但这些服务与 AUR 有显著区别:它们提供了类似官方软件包的构建环境,而且不允许预编译二进制文件或私有软件。AUR 的要求过于宽松而在这次攻击中遭到了滥用。
Full article body is being fetched in the background. Refresh in a moment to see the complete paragraphs. For now this page shows a summary and AI analysis.