Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"	+/–
Сообщение от opennews (?), 14-Июн-26, 14:52
Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код  подставлен ещё в 54 пакета,  оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставлена обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=65685
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ы (?), 14-Июн-26, 14:52	+1 +/–
> AUR > @ > looks inside > @ > npm well...
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 14-Июн-26, 15:01	–2 +/–
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #33, #39

3. Сообщение от Аноним (3), 14-Июн-26, 15:03	–1 +/–
может проблема не в aur, а в npm например?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #22

4. Сообщение от Аноним (4), 14-Июн-26, 15:10	–4 +/–
AUR ВСЁ !
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #47

5. Сообщение от Аноним (5), 14-Июн-26, 15:15	–2 +/–
А что, flatpack не помог?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #34

6. Сообщение от bitman (??), 14-Июн-26, 15:25	+/–
не AUR, а orphaned
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 14-Июн-26, 15:43	+/–
> AUR ВСЁ ! Не однозначное высказывание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (7), 14-Июн-26, 15:51	+1 +/–
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #18, #27

9. Сообщение от Аноним (9), 14-Июн-26, 15:51	+3 +/–
Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (2), 14-Июн-26, 15:55	+/–
У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 14-Июн-26, 15:56	+/–
Зачем они это делают? На данных пользователей арча можно как-то поживиться?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

12. Сообщение от АДмин (?), 14-Июн-26, 15:59	+1 +/–
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ???  Может это личное ???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14, #19, #25, #43, #46

13. Сообщение от Аноним (2), 14-Июн-26, 16:06	+/–
На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15, #16

14. Сообщение от Аноним (14), 14-Июн-26, 16:06    Скрыто ботом-модератором	+/–
потому что шерето кривое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от anonymos (?), 14-Июн-26, 16:20	+/–
> Впрочем, из альтернатив у тебя только Федора Убей себя ап стену
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от Аноним (4), 14-Июн-26, 16:21	–2 +/–
https://get.opensuse.org/ru/tumbleweed/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (17), 14-Июн-26, 16:25	+/–
npm config set ignore-scripts true
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #41

18. Сообщение от Аноним (18), 14-Июн-26, 16:29	+/–
> 30 дней не размышление даже в отпуск не съездить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от Аноним (19), 14-Июн-26, 16:30	–1 +/–
Потому что дристр для школоты btw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (7), 14-Июн-26, 16:38	–1 +/–
Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 14-Июн-26, 16:50	+/–
> может проблема не в aur, а в npm например? Тем временем в новости: > в этот раз задействована платформа bun Да, проблема в npm. 🤦
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от Аноним (22), 14-Июн-26, 16:52	+1 +/–
Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

24. Сообщение от Аноним (22), 14-Июн-26, 16:53	+/–
И как это тебе поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от iPony128052 (?), 14-Июн-26, 17:05	+/–
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак. У арча он явно выше чем у Void и NixOS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #36, #40, #44

26. Сообщение от iPony128052 (?), 14-Июн-26, 17:06	+/–
Ну да. Тот же криптокошелёк украсть или просто плюс один к ботнету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #31

27. Сообщение от небесный ученый (?), 14-Июн-26, 17:15	+/–
> Почему заброшенные пакеты не удаляют удаляются, раз в два года https://wiki.archlinux.org/title/AUR_Cleanup_Day > а передают любому желающему? а почему бы и нет ? любой желающий может прислать пакет(точнее рецепт сборки пакета); любой желающий может поддерживать пакет; любой желающий может поднять брошенное знамя; минимум ограничений. Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину. Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от не ной (?), 14-Июн-26, 17:43	+/–
ты в помойках шаришь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

29. Сообщение от Аноним (22), 14-Июн-26, 17:54	–1 +/–
> Зафиксирована ещё одна атака на AUR, [...] был добавлен вывод [..] с [...] предложением поменять дистрибутив или перестать использовать AUR. Да бессмысленно - эта аудитория необучаема. В прошлой новости адепты Арча пели, что "нужно всего лишь смотреть, что в PKGBUILD файлах 😤". Доигрались в крутых хакиров, "контролирующих свою систему". Правда, хакирам никто не сказал, что запускать баш-портянки из публичной помойки - это не совсем по-хакерски. 😳
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

30. Сообщение от Аноним (30), 14-Июн-26, 17:56	+1 +/–
AUR или не AUR?... Вообще-то любой мейнтейнер может вставить в свой пакет всё что захочет. Просто если код  читают много людей они это заметят, если никто не читает, то не заметят. Но и ещё репутауция.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от небесный ученый (?), 14-Июн-26, 18:01	+/–
мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так. Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности. Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью. Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе. Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Комиссар (?), 14-Июн-26, 18:05	+1 +/–
Ну так АУР это не всегда перепаковка deb/rpm. Иногда это еще сборка из сырцов или перефасовка appimage. И как следствие — своевременные обновления без многогигабайтных зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

34. Сообщение от Комиссар (?), 14-Июн-26, 18:06	+/–
А думаешь кто-то проверяет что он там устанавливает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

35. Сообщение от Испанский стыд (?), 14-Июн-26, 18:09	+/–
> ... поставьте нормальный дистр и не позорьтесь ... Не позорил бы cpакир себя NEOcиляTORством Арча, учительницу русского языка и испoлнительную влaсть РФ - что до сих пор к mamке за ухо не отвели.
Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Комиссар (?), 14-Июн-26, 18:10	–1 +/–
А при чем тут эти дубовые колымаги? Речь-то о десктопах Поставь-ка в эти коряги такие базовые десктоп-штуки как Steam, CoreCtrl и bluetooth — взвоешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Испанский стыд (?), 14-Июн-26, 18:11	+/–
Написать тебе техническое ревью на твой недопакетный менеджер? Или ты и сам всё понимаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #42

38. Сообщение от Аноним (38), 14-Июн-26, 18:12	+1 +/–
>вывод нецензурного сообщения на русском языке Сообщение с обращением на "вы", "хотяб" написано слитно. Какой-то нерусскоязычный деятель.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #52

39. Сообщение от Аноним (39), 14-Июн-26, 18:13	+/–
Все еще. Особенно ядро патченное
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

40. Сообщение от Аноним (47), 14-Июн-26, 18:13	+/–
> Чем больше коэффициент популярности Тем надежнее бдит 1000гл@3!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

41. Сообщение от Комиссар (?), 14-Июн-26, 18:14	+1 +/–
sudo pamac remove nodejs npm --orphans
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

42. Сообщение от Аноним (22), 14-Июн-26, 18:17	+/–
> Написать тебе техническое ревью на твой недопакетный менеджер? Пиши, конечно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

43. Сообщение от Аноним (47), 14-Июн-26, 18:21	–2 +/–
Оно не выдержало интеллектуального превосходства арчеводов. Даже сюда в комментарии пришло и.. расплаkalось.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

44. Сообщение от небесный ученый (?), 14-Июн-26, 18:23	+/–
при чем тут дырявость ? AUR "это не баг а фича", как и доброта это не порок. Тем боле везде где тока можно написано что-то типа этого: Warning AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #45, #51

45. Сообщение от iPony128052 (?), 14-Июн-26, 18:25	+/–
> при чем тут дырявость ? AUR "это не баг а фича" Дырявость это не отменяет, если даже об этом написать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

46. Сообщение от Комиссар (?), 14-Июн-26, 18:27	+/–
Смотри Steam-статистику. Какие дистры там отожрали 50+%? Что до Void/NixOS — это тупик: для десктопа они слишком засохшие, а для прода — мало того что не продаются, не имеют оффсапорта, так еще и требуют неадекватной компетенции аникеев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

47. Сообщение от Аноним (47), 14-Июн-26, 18:29	+/–
Наше ВСЁ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

48. Сообщение от небесный ученый (?), 14-Июн-26, 18:35    Скрыто ботом-модератором	–1 +/–
ты пытаешься сказать что дырки в штанах для ног и туловища это дырявость, нет, дырявость это когда у тебя лишняя дырка на заднице.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от Аноним (50), 14-Июн-26, 18:45    Скрыто ботом-модератором	+/–
В Линуксе же нет вирусов вы все врёте!
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 14-Июн-26, 18:45	+/–
Украинцы русский в школах не изучают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

51. Сообщение от iPony128052 (?), 14-Июн-26, 18:49	+/–
> это не баг а фича И такие решения принимают разработчики, а не анонимы. Если разработчики начинают менять правила и всё такое, значит ситуация не устраивает. А не так что это не баг, а фича.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Аноним (52), 14-Июн-26, 18:52	+/–
Да там сразу видно, что строка -- выхлоп ИИ или какого-то переводчика. Ещё с месяцем гордости поздравил, а это ну совсем Трампанальная тема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема