Arch Linux官方已下架三款被植入远程访问木马（RAT）“CHAOS”的恶意软件包，这些软件包此前被上传至Arch用户社区仓库（AUR），并可在Linux系统中执行恶意远程控制行为。

这三款恶意软件包名称分别为“librewolf-fix-bin”“firefox-patch-bin”和“zen-browser-patched-bin”，均由用户名为“danikpapas”的用户于7月16日上传。社区用户发现其存在可疑行为后，Arch Linux团队于两天后将其全部下架。

AUR 维护人员在公告中指出：“7月16日晚上约8点（UTC+2），一款恶意AUR软件包被上传至AUR平台。”“数小时后，同一用户又上传了另外两款恶意软件包。这些软件包均会下载并执行来自同一GitHub仓库的脚本，该脚本已被确认是一种远程访问木马（RAT）。”

AUR（Arch User Repository）是一个由用户维护的软件仓库，Arch Linux用户可在其中发布软件构建脚本（PKGBUILD），以自动化下载、构建和安装操作系统未包含的软件。然而，与许多其他软件仓库类似，AUR并未设立正式的审核机制对新提交或更新的软件包进行安全审查，因此，用户在构建和安装前需自行审查代码及安装脚本以防潜在风险。

尽管目前相关恶意软件包已被下架，但BleepingComputer网站发现这三款软件包的归档副本仍可获取，显示攻击者最早于7月16日18:46（UTC）开始提交恶意内容。

三款恶意软件包“librewolf-fix-bin”“firefox-patch-bin”和“zen-browser-patched-bin”的PKGBUILD文件中均含有名为“patches”的来源条目，指向攻击者控制的GitHub仓库：https://github.com/danikpapas/zenbrowser-patch.git。

在执行软件构建流程（BUILDPKG）时，该仓库被克隆至本地，并作为补丁构建流程的一部分运行。但实际上，该GitHub仓库并不包含合法补丁，而是嵌入了可在软件构建或安装阶段执行的恶意代码。目前，该GitHub仓库已被删除，.git仓库内容无法再被分析。

与此同时，一个长期处于休眠状态的Reddit账号突然开始在多个Arch Linux相关话题下发表评论，宣传上述软件包。该账号疑似已被攻击者接管，用于在社区推广恶意软件。Reddit上的Arch用户迅速发现异常，其中一名用户将其中一个组件上传至病毒扫描平台VirusTotal，经识别为Linux平台上的CHAOS远程访问木马（RAT）。

CHAOS RAT是一款开源的远程访问木马，可用于Windows和Linux系统，具备上传、下载文件、执行命令、开启反向Shell等功能，使攻击者能够完全远程控制受感染设备。

该木马一旦安装，会持续连接到攻击者设定的命令与控制服务器（C2），等待执行指令。在本次攻击中，C2服务器地址为：130.162[.]225[.]47:8080。

CHAOS RAT通常被用于加密货币挖矿攻击，也可能被用于窃取凭据、数据盗取或网络间谍活动等。

鉴于该木马的严重危害，凡是不慎安装上述软件包的用户，应立即检查系统中是否存在名为“systemd-initd”的可疑可执行文件，该文件可能位于/tmp目录中。如发现，应立即删除。

Arch Linux团队已于7月18日18:00（UTC+2）前完成对所有三款恶意软件包的下架处理。

Arch Linux团队发布安全公告提醒称：“我们强烈建议所有可能安装过这些软件包的用户，立即将其从系统中移除，并采取必要措施确认系统未被入侵。”