Linuxeden开源社区
虽然 Arch Linux AUR 存储库可能很受欢迎,因为它可以获取一些在 Arch Linux 中找不到的软件包,但重要的是要记住,AUR 代表 Arch 用户存储库。这些用户包并不总是最好的,而且很少有恶意的,正如本周关于几个恶意浏览器包通过 AUR 短暂踩踏的公告所示。
周三,一位 Arch Linux 用户上传了 firefox-patch-bin、librewolf-fix-bin 和 zen-browser-patched-bin 的恶意 AUR 包。这些 AUR 包最终从 GitHub 存储库安装了一个二进制文件,该文件最终成为远程访问木马。
Arch Linux 管理员已获悉这些恶意软件包,并于周五将其删除。需要重申的是,这些恶意软件包仅位于 Arch 用户存储库 (AUR) 中,不属于 Arch Linux 或类似浏览器上的官方 Firefox 浏览器的一部分。无论如何,这是一个很好的公共服务公告,提醒用户在依赖 Arch Linux 的 AUR、Ubuntu PPA、第三方 Flatpaks / Snaps 和其他用户贡献的软件包时要谨慎行事,这些软件包并不总是经过 Linux 发行版供应商的审查。
有关这些受损 AUR 包的更多信息,请访问 Arch Linux aur-general 邮件列表。
转自 Arch Linux AUR Packages For Firefox & Other Browsers Removed For Containing Malware – Phoronix