2026年6月,Arch Linux 社区遭遇了一次大规模、高隐蔽性的供应链攻击——攻击者通过伪造维护者身份,在超过1600个 AUR(Arch User Repository)包中悄悄植入恶意代码,诱导用户执行 npm install atomic-lockfile 或 bun install js-digest 等命令。这些看似正常的构建指令,实则会下载并运行一个集“信息窃取 + eBPF 内核级后门”于一体的双重恶意载荷,专门盗取开发者密钥、浏览器 Cookie、Git 凭据和 CI/CD 环境变量。本项目 aur-malware-check 正是为应对这场危机而生:它不是杀毒软件,而是一套轻量、可信、开箱即用的 Shell 检测脚本,帮你快速识别本机是否已安装被污染的 AUR 包,或缓存中是否残留危险依赖。
核心功能
- 全系统 AUR 包扫描:自动比对本地已安装的 AUR 软件包(通过
pacman -Qq和expac)与官方确认的 1600+ 受感染包名单,精准定位风险源头 - 双引擎缓存检测:不仅检查 PKGBUILD 文件,还深度扫描
~/.cache/bun/install和~/.npm目录,揪出已被下载但尚未执行的js-digest或atomic-lockfile恶意模块 - 攻击账户溯源支持:内置受控账号列表(如
krisztinavarga、custodiatovar等),可一键筛查是否曾安装过这些恶意维护者发布的包 - 安全模式一键验证:提供无需执行任意脚本的“只读比对”方案——仅用
comm命令对比本地包名与远程黑名单,全程不联网、不执行可疑逻辑,适合敏感环境 - 完整日志与取证输出:发现异常时,清晰列出包名、维护者、受影响文件路径及原始攻击特征(如含
lockfile-js的 install 脚本片段),便于人工复核与上报 - 社区共建友好设计:所有检测规则与黑名单均来自 Arch 中文社区、Reddit 和 GitHub Gist 的公开分析成果,开放 PR 接收最新威胁情报,确保持续更新
适合哪些人用
如果你是以下任一角色,强烈建议立即运行本工具:Arch Linux 日常使用者(尤其习惯从 AUR 安装开发工具、VS Code 插件或前端框架);开源贡献者或 AUR 维护者(需自查本地构建环境是否已被污染);DevOps 工程师或 CI/CD 管理员(运行 Arch-based 构建节点的团队应将其纳入安全基线检查);以及任何重视终端隐私与凭证安全的技术用户——毕竟一次 paru -S some-tool 就可能让 SSH 密钥、GitHub Token 和浏览器登录态悄然泄露。
快速上手
无需编译、不依赖 Python 或 Node.js,纯 Bash 环境开箱即用:
- 下载脚本:
curl -O https://raw.githubusercontent.com/lenucksi/aur-malware-check/main/aur_check.sh - 赋予执行权限:
chmod +x aur_check.sh - 基础扫描(推荐首次运行):
./aur_check.sh - 深度扫描(含缓存与日志):
./aur_check.sh --full - 仅检查 Bun 缓存(针对
js-digest):./aur_check.sh --check-bun-cache - 最安全的离线比对(不执行任何远程脚本):
comm -1 -2 <(pacman -Qq | sort) <(curl -s https://raw.githubusercontent.com/lenucksi/aur-malware-check/main/infected-packages.txt | sort)
项目信息
lenucksi/aur-malware-check
GitHub
Detection tools for the June 2026 atomic-lockfile AUR supply-chain attack. Consolidated from community Gists.
619
Stars
15
Forks
Shell
—
编程语言:Shell|Star 数:619|开源协议:未明确声明(作者鼓励社区协作与传播)|GitHub 项目地址
这不是一个“未来可能有用”的工具——它直面已发生的、真实影响数千 Arch 用户的供应链攻击,用最朴素的 Shell 脚本,为你守住终端最后一道防线。
