Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"	+/–
Сообщение от opennews (?), 14-Июн-26, 14:52
Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код  подставлен ещё в 54 пакета,  оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставлена обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65685
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ы (?), 14-Июн-26, 14:52	+/–
> AUR > @ > looks inside > @ > npm well...
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 14-Июн-26, 15:01	–3 +/–
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 14-Июн-26, 15:03	+/–
может проблема не в aur, а в npm например?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #22

4. Сообщение от Аноним (4), 14-Июн-26, 15:10	–3 +/–
AUR ВСЁ !
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7

5. Сообщение от Аноним (5), 14-Июн-26, 15:15	–1 +/–
А что, flatpack не помог?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

6. Сообщение от bitman (??), 14-Июн-26, 15:25	+/–
не AUR, а orphaned
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 14-Июн-26, 15:43    Скрыто ботом-модератором	+/–
> AUR ВСЁ ! Не однозначное высказывание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (7), 14-Июн-26, 15:51	+/–
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #18, #27

9. Сообщение от Аноним (9), 14-Июн-26, 15:51	+/–
Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (2), 14-Июн-26, 15:55	+/–
У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 14-Июн-26, 15:56	+/–
Зачем они это делают? На данных пользователей арча можно как-то поживиться?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

12. Сообщение от АДмин (?), 14-Июн-26, 15:59	+1 +/–
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ???  Может это личное ???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14, #19, #25

13. Сообщение от Аноним (2), 14-Июн-26, 16:06	+/–
На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15, #16

14. Сообщение от Аноним (14), 14-Июн-26, 16:06    Скрыто ботом-модератором	+/–
потому что шерето кривое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от anonymos (?), 14-Июн-26, 16:20	+/–
> Впрочем, из альтернатив у тебя только Федора Убей себя ап стену
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от Аноним (4), 14-Июн-26, 16:21	–1 +/–
https://get.opensuse.org/ru/tumbleweed/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (17), 14-Июн-26, 16:25	+/–
npm config set ignore-scripts true
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

18. Сообщение от Аноним (18), 14-Июн-26, 16:29	+/–
> 30 дней не размышление даже в отпуск не съездить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от Аноним (19), 14-Июн-26, 16:30	+/–
Потому что дристр для школоты btw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (7), 14-Июн-26, 16:38	–1 +/–
Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 14-Июн-26, 16:50	+/–
> может проблема не в aur, а в npm например? Тем временем в новости: > в этот раз задействована платформа bun Да, проблема в npm. 🤦
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от Аноним (22), 14-Июн-26, 16:52	+/–
Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

24. Сообщение от Аноним (22), 14-Июн-26, 16:53	+/–
И как это тебе поможет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от iPony128052 (?), 14-Июн-26, 17:05	+/–
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак. У арча он явно выше чем у Void и NixOS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

26. Сообщение от iPony128052 (?), 14-Июн-26, 17:06	+/–
Ну да. Тот же криптокошелёк украсть или просто плюс один к ботнету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

27. Сообщение от небесный ученый (?), 14-Июн-26, 17:15	+/–
> Почему заброшенные пакеты не удаляют удаляются, раз в два года https://wiki.archlinux.org/title/AUR_Cleanup_Day > а передают любому желающему? а почему бы и нет ? любой желающий может прислать пакет(точнее рецепт сборки пакета); любой желающий может поддерживать пакет; любой желающий может поднять брошенное знамя; минимум ограничений. Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину. Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема