Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Атакующие скомпрометировали 469 пакетов в репозитории AUR"	+/–
Сообщение от opennews (??), 12-Июн-26, 11:04
Зафиксирована массовая компрометация пакетов в репозитории  AUR (Arch User Repository), применяемом в Arch Linux для распространения приложений от сторонних разработчиков. Атакующие получили контроль над 469 пакетами и смогли внедрить в них вредоносный код для кражи паролей и ключей доступ с систем пользователей. Среди прочего, вредоносный код был интегрирован в поставляемый через AUR пакет ALVR, популярный у любителей компьютерных игр... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65670
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

3. Сообщение от ТокарьКодер (?), 12-Июн-26, 11:14    Скрыто ботом-модератором	–1 +/–
Чтож это, за атакующие то такие.
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 12-Июн-26, 11:19	–15 +/–
Зачем арчеводам компилять из AUR по васянским PKGBUILD, если есть Flatpak? Я сам лет 10 назад пользовался Arch Linux во многом из-за AUR, но в 2026 то оно зачем?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #14, #27, #32, #69

8. Сообщение от Аноним (10), 12-Июн-26, 11:19	–1 +/–
Я всегда читаю PKGBUILD и проверяю активность проекта и сопровождающего, если пакет давно не обновлялся, возможно стоит перейти на альтернативу. Главный плюс PKGBUILD - его понятная структура и синтакс, и если в проекте без js вдруг появляется в зависимости целый движок какой нибудь и npm пакеты, это довольно легко палить, как и подозрительные сторонние баш файлы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #42, #53, #62, #70

9. Сообщение от Аноним (14), 12-Июн-26, 11:20	+/–
>взяли на себя сопровождение пакетов, имеющих статус "orphaned" Там такое часто. Вообще, AUR удобная штука в плане "рецептов приготовления" того или иного софта, но бездумно им пользоваться - выстрел в ногу. Я вот просто утащил оттуда себе некоторые пкжбилды и сам их обновляю по надобности, но не больше. Ну и да, разобрав десятки разных пкджбилдов, начинаешь сам разбираться в этом. Неплохая доп. школа в плане скриптинга, устройства линуха и т.д.
Ответить | Правка | Наверх | Cообщить модератору

10. Сообщение от Аноним (10), 12-Июн-26, 11:23	+9 +/–
Программы через flatpak работают хуже чем нативные, может не работать 3д ускорение, плохо интегрироваться с системной темой, не работать некоторые функции, как например с браузерами и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

11. Сообщение от q (ok), 12-Июн-26, 11:24	–3 +/–
Поэтому нормальные пацаны разрабатывают в контейнерах. Я у себя решил это так: докер-контейнер, в котором идет веб-версия vscodium, плюс инструменты разработчика. Для каждого проекта - свой контейнер, собираемый специально для него: в дополнение к vscodium, в каком-то идет раст тулчейн, в каком-то npm, в каком-то питон. Даже гит-команды полагается вводить внутри контейнера, потому что гит не дает глобально отключить хуки. Да, в хуках тоже может быть малварь. На этом у меня всё, спасибо за внимание. Берегите себя и близких.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55, #63

12. Сообщение от Alex154 (ok), 12-Июн-26, 11:26	+1 +/–
В Flatpak нет драйверов NVIDIA, btdu, ventoy. Ну и в целом, нет смысла тянуть отдельную пакетную систему, если тебе нужна какая-то мелкая софтина.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #57

13. Сообщение от Аноним (13), 12-Июн-26, 11:26	+2 +/–
Такая активность зловредов говорит о том что линукс давно перестал быть системой для маргиналов. Пользовательская база расширилась, подтянулись ширнармассы. В общем линуксоидам-старперам пора присматриваться кто тут кто. Кто волк, кто овца, кто пастух.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #46

14. Сообщение от Аноним (14), 12-Июн-26, 11:27	+9 +/–
Может быть потому, что флатпак: 1) большой размер и дублирование, занимая место как на диске так и в оперативке 2) проблемы с внешним видом, плохая интеграция тем оформления 3) ограничения "песочницы", когда апликухи не видят нужные файлы на диске либо некорректно взаимодействуют с внешними устройствами 4) некоторые апликухи на Flathub пакуются энтузиастами, а не разрабами, что приводит к багам и прочему 5) лишние службы, фоновые процессы, рантаймы ? Я не уверен, конечно, может просто себя накручиваю. Не пользовался никогда этим делом. Максимум AppImage запускал пару раз. Просто нет надобности, нужного софта всегда хватало из реп либо официальных бинарей за все время пользования линухом, а это уже лет 20 где-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #38

17. Сообщение от iPony128052 (?), 12-Июн-26, 11:56	+/–
Скорее говорит о том, что просто надоело это мейнтейниить. Старички уходят. А смены нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #18, #28, #61

18. Сообщение от iPony128052 (?), 12-Июн-26, 12:00	+/–
> Скорее говорит о том, что просто надоело это мейнтейниить Ну и с помощью ИИ сделать рецепт в АУР и почувствовать себя крутым может даже ученик начальной школы. А вот захочет ли он его поддерживать...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от НяшМяш (ok), 12-Июн-26, 12:14	+/–
Я если нахожу нужный мне пакет, но он является заброшенным - то я его клонирую себе на машину, естественно смотрю что там куда ставится, и просто сам себе локально собираю новые версии. Наверное если было бы свободное время, сам стал бы меинтейнером, а то пользователи не очень любят, если обновляешь пакет на неделю позже выхода новой версии (=
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #26

26. Сообщение от Аноним (26), 12-Июн-26, 12:19	–1 +/–
Использовать Арч и тухлые пакеты это уже двойное дно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

27. Сообщение от Аноним (27), 12-Июн-26, 12:29	+1 +/–
Я ушел на арч потому что в бубунте активно стали внедрять snap. Зачем менять шило на мыло?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

28. Сообщение от Аноним (27), 12-Июн-26, 12:30	+/–
Скорее говорит о том что есть куча лишних и бесполезных пакетов с неконтролируемой массой кода.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от Аноним (29), 12-Июн-26, 12:33	–3 +/–
все работает, вы просто не умейте готовить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #73

30. Сообщение от Аноним (30), 12-Июн-26, 12:35	+/–
Скинул сюда список пакетов, почему-то их 432, а не 469. https://ctxt.io/2/AAAEcvvTFg Сравнить с теми, что есть в системе, можно командой comm -12 <(pacman -Qq | sort) <(sort ~/aur_pkg.txt)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #64, #68

31. Сообщение от Аноним (31), 12-Июн-26, 12:37	+2 +/–
>Коммит добавлял "npm" в список зависимостей >Добавление установки NPM-пакетов производилось во все скомпрометированные проекты Получается, вирусы на JavaScript в Линуксе? Лол
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #74

32. Сообщение от Аноним (32), 12-Июн-26, 12:37	+2 +/–
А во flatpak типа нельзя трояны встраивать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #58

33. Сообщение от Аноним (32), 12-Июн-26, 12:42    Скрыто ботом-модератором	+/–
Вирусы которые мы заслужили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

35. Сообщение от Аноним (35), 12-Июн-26, 12:51	+1 +/–
Кажется слово "скомпрометировали" не совсем здесь подходит. Как будто что-то взломали. На деле же orphaned пакеты может подобрать любой желающий. Сам статус по сти означает, что они никому не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #49

36. Сообщение от Аноним (26), 12-Июн-26, 12:53	+/–
Все исходные коды должны проходить экспертизу в министерстве кода и получить сертификат фстек.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

37. Сообщение от Аноним (26), 12-Июн-26, 12:54	+1 +/–
На деле это означает не надо ими пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от Гость (??), 12-Июн-26, 12:54	+/–
> и прочему Сабж как раз относится к этому пункту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

41. Сообщение от Аноним (43), 12-Июн-26, 12:57	+1 +/–
Не прокатило с федорой, так Jia Tan оторвался в арче на 469 пакетах.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Гость (??), 12-Июн-26, 12:57	+5 +/–
Я всегда читаю бинарники побитого и проверяю, что делает каждый нолик и единичка у всех тысяч файлов у каждого из тысяч пакетов по каждому из обновлений. Нам то не гони.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

43. Сообщение от Аноним (43), 12-Июн-26, 12:58	+/–
Google play store же (и вообще любой мегакорп-стор)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

46. Сообщение от слабый гусь (?), 12-Июн-26, 13:01	+/–
Что это значит? Линукс для функционирования сетей и разнообразных прошивок уже пару десятков лет в топе. А вот десктопный линукс как был системой для маргиналов, так по-прежнему ей и яляется. И даже больше чем десяток лет назад. Вейлянд и блошиный рынок его реализаций окончательно всё разрушает. Но туда ему и дорога.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

48. Сообщение от слабый гусь (?), 12-Июн-26, 13:04	–2 +/–
AUR был помойкой в арче ещё до системде. А сейчас это наверное уже мегапомойка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #54, #71

49. Сообщение от Гость (??), 12-Июн-26, 13:05	+/–
То, что мертво, умереть не может.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

52. Сообщение от Аноним (52), 12-Июн-26, 13:18	+/–
мусорный полигон
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

53. Сообщение от Аноним (53), 12-Июн-26, 13:19	+1 +/–
Так эти пакеты перестали быть заброшенными. Они стали с только-только свежим обновлением и одной незначительной зависимостью от npm
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

54. Сообщение от ИсследовательФайловЭпштейна (?), 12-Июн-26, 13:21	–1 +/–
Антивирусы, создают вирусы, Чтобы оправдать существование антивирусов. Тоесть компании сами пишут вирусы, возможно вирусы в самом антивирусе вшиты, Чтобы срабатывать, показывать ато что Антивирус обработал столько то угроз. Иначем зачем тогда Антивирусы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #60

55. Сообщение от Аноним (55), 12-Июн-26, 13:27	+/–
Для каждой задачи делаю свою ВМ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #56, #67

56. Сообщение от Аноним (56), 12-Июн-26, 13:31	+/–
для каждой задачи отдельный комп
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

57. Сообщение от Аноним (57), 12-Июн-26, 13:34	+/–
Есть драйверы nvidia
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

58. Сообщение от Аноним (57), 12-Июн-26, 13:35	+/–
Можно но они будут в песочнице
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

59. Сообщение от Аноним (57), 12-Июн-26, 13:37	+2 +/–
> для каждой задачи отдельный комп Для каждой задачи своя страна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #75

60. Сообщение от Аноним (60), 12-Июн-26, 13:38	–1 +/–
Касперский единственный этим не занимается и защищает от большинства вирусов, но у него бизнес-модель построена на шпионаже. А большинство других AV-программ либо просто бэкдоры, либо косметическая шляпа с бэкдорами. С одной стороны ты в безопасности только без антивирусов, а с другой без надёжного антивируса ты гарантированно поймаешь себе малварь в интернете. Даже в стиме, что уж говорить о всяких itchio.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

61. Сообщение от Аноним (61), 12-Июн-26, 13:44	+/–
> Старички уходят. А смены нет. Старички не смогли систему здоровую построить, а молодёжи это не интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

62. Сообщение от Ык (?), 12-Июн-26, 13:49	+1 +/–
Всегда читаю все исходники всех устанавливаемых пакетов 😇
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

63. Сообщение от mikhailnov (ok), 12-Июн-26, 13:49	+/–
А git push с хоста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

64. Сообщение от bublick (ok), 12-Июн-26, 13:50	+/–
Спасибо, проверился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

65. Сообщение от Аноним (65), 12-Июн-26, 14:04	+/–
Вот поэтому я ни люблю сторонние репозитории: Packman, RPM Fusion, Aur. Как ни крути, Ubuntu/Debian гораздо в этом плане лучше.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

66. Сообщение от Аноним (66), 12-Июн-26, 14:07	+1 +/–
помойка, винда куда безопасТней для конечного пользователя!
Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от Аноним (14), 12-Июн-26, 14:11	+/–
У меня даже текстовые файлы в редакторах открыты каждый в своей ВМ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

68. Сообщение от Аноним (14), 12-Июн-26, 14:13	+/–
Проверился твоим списком, теперь комп не запускается :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

69. Сообщение от Аноним (69), 12-Июн-26, 14:18	+/–
Как будто во flatpack всё не хуже на порядок. Там ничего даже камуфлировать не надо, любая малварь может невидимо делать что ей заблагорассудится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

70. Сообщение от Аноним (69), 12-Июн-26, 14:19	+/–
Вот поэтому я не понимаю почему арч настолько популярен. Его невозможно использовать без courated помойки aur, а aur небезопасно юзать не прочитав каждый PKGBUILD включая зависимости. Простой он или нет, это не дело пользователя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

71. Сообщение от Аноним (14), 12-Июн-26, 14:21	+/–
Нужно просто думать головой, что ставишь и зачем оно тебе надо. А так, можно себе доустановить какой-нибудь Brave браузер (кстати, в АУР лежит именно официальный пакет, как ни странно). Лучше, естественно, всегда проверять, что в пкджбилде. Смешно переползти из мира винды с ее варезниками (только не надо сказок, что ты этого не делал никогда) в линукс и умничать про помойку :) АУР - удобная штука. Кто-то просто сделал для тебя рецепт софта, а твоя задача - включать мозги иногда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

72. Сообщение от Аноним (14), 12-Июн-26, 14:24	+/–
В бубунтовском ppa тоже было много чего интересного. Непонятно вообще, откуда пошел хейт аура. Видимо, от неосиляторов арча, не иначе. Аур - просто пджкбилд, рецептик на бумажке, как "приготовить" тот или иной софт. Надо просто включать голову, зачем оно тебе нужно в системе и читать иногда буквы. Делов-то.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

73. Сообщение от iPony128052 (?), 12-Июн-26, 14:32	+/–
Не всем охота "готовтить" на ровном месте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

74. Сообщение от iPony128052 (?), 12-Июн-26, 14:35	+/–
Ну а чего нет? Наверно самые популярные ещё этак 10 лет назад были на PHP. Злоаредный пристройки к WordPress/PhpBB Или типа того.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #77

75. Сообщение от Анонем (?), 12-Июн-26, 14:37	+/–
Для каждой задачи своя планета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

76. Сообщение от Аноним (76), 12-Июн-26, 14:38	+/–
Вам уже дали бесплатные ИИ-модели и агентов, а вы до сих пор не делаете собственную ОС с блэкджеком. Предпочитаете чужую вирусню и трояны.
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от iPony128052 (?), 12-Июн-26, 14:39	+/–
Ну и тот же обфусцированный зловиедный Javascript на тех же сайтах крутящихся на взломанных линуксах так же тема, которой больше десяти лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема