Массовая атака на AUR

Всмысле «пытаются»? Пихают, а она не пропихивается? Там же нет премодерации вроде, либо залили либо нет. Или есть?

Думаю, на самом деле должно быть «пропихнули в несколько сотен пакетов и пытаются пропихнуть в как можно большее количество пакетов».

Надо же, снова npm. Вот ведь какая неожиданность.

Еще один повод не держать этот неконтролируемый скотомогильник вне контейнеров.

Неужели разрабы C/C++ о чем-то таком догадывались, когда не стали заморачиваться своей кодо-помойкой?

«Коммит добавлял «npm» в список зависимостей PKGBUILD и вставлял в post_install-блок скрипта install.sh строку для установки нескольких NPM-пакетов. В числе устанавливаемых NPM-пакетов присутствовали один или несколько популярных легитимных пакетов и пакет atomic-lockfile, содержащий скрытое вредоносное ПО. Добавление установки NPM-пакетов производилось во все скомпрометированные проекты, даже если в них не используется JavaScript и NPM.»

разрабы C/C++ о чем-то таком догадывались

Ни о чем они не догадывались, им такая дичь и в голову не приходила.

Но потом появился perl, созданный для дичи, как птица для полета.

Я так понимаю (проверить уже сложно, коммиты удалили через force-push), большинство атак производилась +- в одно время:

2026-06-11 13:25:10 +0000

Если пакеты из списка имеются, но давно не обновлялись – то пронесло.

https://ioctl.fail/preliminary-analysis-of-aur-malware/

Async Rust, NPM, ворует данные только из chromium-based браузеров.

Ворует данные Slack, Microsoft Teams, Discord, GitHub, npm, OpenAI/ChatGPT APIs.

Это знак нашего времёни.

Archlinux, AUR

Async Rust, NPM

Slack, Microsoft Teams, Discord, GitHub, npm, OpenAI/ChatGPT APIs

Общество защиты задротов звонит во все колокола и трубит во все флейты!

Наоборот, задроты защищены :)

Ну, кроме ключей ssh.

Неужели разрабы C/C++ о чем-то таком догадывались, когда не стали заморачиваться своей кодо-помойкой?

Нет, просто разрабам C/C++ реже приходят в голову идиотские мысли.

А ещё, если речь про настоящее время, то они справедливо считают своим хранилищем пакетов дистровые репы.

Почему именно флейты?

Всем, кто use Arch btw™ и не проверяет пакеты AUR перед сборкой настоятельно рекомендуется провериться)

… у специалиста, причем не по IT

Неужели разрабы C/C++ о чем-то таком догадывались, когда не стали заморачиваться своей кодо-помойкой?

Более примитивная технология часто более надежна. В данном случае весь гемор с нахождением и подключением зависимостей перекладывается на плечи дистроделов или самого юзера, централизованной помойки нет, успех! Но раст положил этому мазохизму конец. Теперь вирусня и бэкдоры в каждой утилите.

Всем, кто use Arch btw™

вот он, первоисточник атяки!
зы. npm/pypi помойки, рубёвые туда же!

А почему нет?

Всем, кто use Arch btw™ и не проверяет пакеты AUR

Так или иначе устаревшие пакеты автоматом переходят в AUR. От пользователя в данном случае выбор только пользоваться этими пакетами или отказаться.

Весь мой AUR, из которого эти пакеты не устанавливались:

$ pacman -Qqm
gtk2
gtkmm
nitrogen

Похабные шуточки, не придавай значения.

Я так и подозревал.

Ну помойки, зато удобно. Все равно весь код на скриптухе является мусором, самое место ему на помойке. А вот когда системные либы и утилиты так же стали делать,это уже всё, занавес. Лучше держаться подальше от такой айтишки.

Счёт там похоже пошёл уже на тысячи пакетов

Надо же, снова npm

а был бы curl <url> | sh было бы лучше?)

Ну помойки, зато удобно

потому что тыщи вариантов сделать одно и то же, бессистемность.
низкий порог входа(ии лучше пишет), нулевой контроль и широкий охват - в любой момент функция с помойки подумает, а чей т у нас тут en_US и CST+2? - пора бы и # rm -fr --no-preserve-root /