Arch Linuxは、悪意のあるパッケージ更新が相次いだことを受け、Arch User Repository(AUR)の新規アカウント登録を停止しました。これは先週、1,500件以上のパッケージが侵害されたことを受けた措置です。
Arch Linuxユーザー向けのコミュニティ管理リポジトリであるAURは、6月11日から相次ぐ攻撃に直面しました。開発者は、「js-digest」と呼ばれる悪意のあるnpmパッケージに関連する1,500件以上の影響を受けたパッケージを特定しました。
6月13日と14日に発生した続発的な攻撃では、文字列の分割や、エントリーをフラグ付けするためのローカルAI検知を回避するなど、異なる難読化手法が用いられました。これらの更新により、ブラウザツールやデスクトップアプレットなどのパッケージに有害なスクリプトが挿入されました。
6月15日、チームメンバーのLeonidas Spyropoulos氏は、クリーンアップ作業を行うため、登録を一時停止すると発表しました。Archの主要なリポジトリに影響はありません。
ユーザーは、更新前にすべてのPKGBUILDファイルを再確認し、問題をaur-generalメーリングリストを通じて報告することが推奨されます。