LWN.net 披露 Arch User Repository 数百个 orphaned 包被同一批攻击者接管,构建脚本里塞进恶意 npm 依赖 'atomic-lockfile',构建阶段静默外泄 SSH 密钥、浏览器凭据。这不是 Linux 圈的小事——它是「社区长尾」+「跨语言依赖」+「AI 自动化」三股力量共同撕扯开源供应链的最新案例,值得所有依赖开源分发链路的人停下来想一下。

2026 年 6 月 11 日,Arch Linux 用户仓库(AUR) 维护者邮件列表披露,数百个 AUR 软件包遭攻击者通过窃取的维护者凭据注入了信息窃取恶意软件。这不是普通的安全事件——它直接命中了 AUR 「去中心化+无中心审计」的核心哲学,也再次给整个开源供应链敲响了警钟。

一个名为 TeamPCP 的黑客组织正在以前所未有的规模向开源代码库注入恶意代码，GitHub、OpenAI、Mercor 等数百家企业已受影响。本文深度解析这场史上最大规模供应链攻击的运作机制。