Arch Linux的AUR储存库部分套件程式码被加料，勿轻忽社群程式码储存库安全风险

Arch Linux使用者储存库（Arch User Repository，AUR）中，被发现有3款套件存在恶意程式码。由于这些套件缺乏活跃维护者，使得骇客有机可乘，透过Git对这些套件插入恶意程式码。所幸透过程式码分析发现了这些恶意行为，但AUR官方还是提醒，使用者不应过度相信社群程式码储存库的安全性。

透过安全性调查发现，在6月7日，一个可以让Arch Linux使用者开启PDF文件的套件acroread，由于缺乏活跃维护者，被一个名称为xeactor使用者，透过Git对其添加了恶意程式码。

这些恶意程式码会先从一个文字分享网站ptpb.pw下载名为~x的档案，而这个~x档案的功能，会下载并执行另一个名为~u的档案，与此同时，~x也会对systemd进行修改增加计时器，每360秒执行一次~u档案。不过，有趣的是，第二个下载来的~u档案并不会执行太多的恶意行为，仅会收集受感染电脑的资料，并将这些资料透过客制化的金钥，回传至线上文字系统。

~u收集的资讯包含时间日期、电脑ID、CPU资讯、套件管理器Pacman的详细资讯，以及uname -a和systemctl list-units两个指令的输出讯息。AUR官方表示，除此之外，没有观察到其他的恶意行为，也就是说acroread不具伤害用户系统的行为。而且acroread中并不具备自动更新的能力，因此当xeactor要为恶意程式码添加新的行为，势必需要再度更新套件程式码。

AUR官方还发现了储存库中另外两个套件，也被感染的恶意程式码，这些程式码的行为与acroread中被增加的相似。现在这三个有问题的套件都已经被移除，xeactor的账户也被停用了。

类似的事件也发生在Ubuntu Snap商店，在5月时，首度发现一款名为2048buntu的小游戏中，暗藏采矿程式，而当时官方Canonical发表公开声明提到，由于资源有限，他们没有办法审查用户上传的所有程式码，因此倾向于以信任作者的方式取代信任程式码，因此会对安全的发行者授予信任标记。

而AUR是由Arch Linux社群驱动的套件储存库，开发者可以上传套件程式码，并由使用者自行建置套件。受Arch Linux官方信任的开发者Giancarlo Razzolini公开回复邮件列表，回应对这个事件提出疑问的使用者，他提到AUR的网页上有明显的免责声明，使用者应该要清楚自己所使用的东西，他也提醒用户，只能从AUR下载PKGBUILD，并且使用自己建置的套件。过分相信AUR上的内容并非安全的作法。