В снапе нашли майнер

а ничо, что это обнаружил лоровец с помощью другого лоровца?)))

Ядра процессора загружены на 100%

А обнаружили это в этой теме.

Круговорот истории успеха. Ничо, пусть будет, в той теме не так заметно.

Всё канпелируешь за своим комплютером, а ерохин вон уже на убунтовых хомяках майнит!

Не удивлюсь, если этот Nicolas Tomb окажется поехавшим лоровцем.

Ты допиши, что майнер нашли «русские хакеры».

Не удивлюсь, если этот Nicolas Tomb окажется поехавшим лоровцем.

А кто ж его знает, под этим именем кто угодно может скрываться.

А кто ж его знает, под этим именем кто угодно может скрываться.

Как это, кто угодно? Ясно же написано - Колян Могила.

история успеха. Смысл репы по второму кругу переделывать, в чем столь принципиальная разница со снапом и .deb не сильно понимаю. Вот AppImage — это более понятный юзкейс.

А что такое снап?

Какой-то сокращённый вариант классики

Самодостаточный пакет с притензией на изоляцию в песочнице.

Снап как и аппимейдж самодостаточные. Но если аппимейдж просто «исполняемый файл», в снапе заложен механизм ограничения прав этому пакету при исполнении. А вот деб как раз ни чего общего со снапом не имеет. Тот же флатпак ближе по реализации.

механизм очень похожий, тот же менеджер пакетов, ещё и примотанный
к убунте. Тогда как AppImage более самодостаточная вещь.

забавно, я токо вчера понял всю ненужность этих изоляторов.

Система управления нужна для управления ограничениями и т.п. начинкой. Снап больше чем простой самодостаточный пакет, т.е. он воплощает в себе аппимейдж с дополнительными фичами.

А зачем этот ваш шнап создает маунты для каждого пакета? Меня это беспокоит, кушать не могу.

Одна репа на все дистрибутивы. И коммитить в неё можно без тормозной бюрократии которой страдают мейтейнеры дистров. Надо уточнять что последнее предложение сказано с сарказмом?

И коммитить в неё можно без тормозной бюрократии которой страдают мейтейнеры дистров.

What could possibly go wrong?

Ну да, всё крутые пацаны так делают: docker, npm, pip, cargo…

Пока тощие сишники метут дворы.

ещё и примотанный к убунте

На самом деле не очень, спокойно работает на Раче.

Он сам по себе не примотан к убунте, а только к systemd

А вот емнип разработка снапа примотана к каноникалу

А можно вкратце суть проблемы?

В снапах Nicolas'а Tomb'а нашли майнеры. У него штук 6 снапов было, но теперь они удалены.

Зис ньюс джуст гот биг, Kron4ek окончательно подмочил снапу репутацию, Марк подает на банкротство.

https://news.ycombinator.com/item?id=17055401
https://www.linuxuprising.com/2018/05/malware-found-in-ubuntu-snap-store.html

Да, далеко новость разлетелась. Даже не ожидал такого эффекта.

npm

это там где автор либы, ставящей пробелы в начале строки, психанул и грохнул тем самым половину всего софта? крутые пацаны, эт точно

Вголосину, и тут дебильные мамкины майнеры подосрали.

А зачем этот ваш шнап создает маунты для каждого пакета? Меня это беспокоит, кушать не могу.

изоляция жыж, радуйся наоборот

далеко новость разлетелась. Даже не ожидал такого эффекта.

Нехило ты себе карму на реддите прокачал. ;)

Нехило ты себе карму на реддите прокачал. ;)

Это да. 1000+ за один пост - очень нехило :) Хотя меня там карма и не интересует.

myfirstferrari, cpu miner. Пацан к успеху шёл.

Уже и до OpenNet новость добралась.

А че за снап?

А кто ж его знает, под этим именем кто угодно может скрываться.

«I know your lil dirty secrity , remove the application or I am gonna send this on public and will let your mum know that you are cheap bitch»

Если странное слово lil - это модный среди определенных персонажей псевдоукраинизм «ліл», то вычислить поциэнта не составит труда. Не так много тут употребляют это слово, одновременно ставят пробелы перед запятыми и хейтят убунту и systemd. 100% троллинг. Ну не верю я что-то кто-то реально пытался таким способом себе на феррари насосамайнить.

Если странное слово lil

Ну, lil это, вроде бы, сокращение little.

Ну не верю я что-то кто-то реально пытался таким способом себе на феррари

А он и не пытался особо. Если бы захотел тщательней скрыть, то запускал бы майнинг только когда система в идле находится, а не на постоянной основе. К тому же сколько пользователей ставят пакеты из снапа и сколько поставят конкретно его пакеты? Не так уж много, скорее всего.

Не так уж много, скорее всего.

Ну и на cpu, как я понимаю, сейчас не шибко намайнишь.

Ну и на cpu, как я понимаю, сейчас не шибко намайнишь.

Наиболее популярные крипты не намайнишь. Но он майнил какой-то BCN (Bytecoin), фиг знает какие мощности он требует. В любом случае, стоит этот BCN копейки - 0.009$. Так что вообще неизвестно, заработал ли себе этот парень хотя бы на банку пива.

Есть альткоины которые ещё можно с CPU майнить.
Да и снап в новых бубунтах вроде как интегрирован с как-там-называется-эта-гуйня-для-установки-софта, так-что потенциальные «майнеры» — все бубунтохомячки.

P.S. откуда копипаста с lil?

Какой-то сокращённый вариант классики

Хороший комикс. Вот уже и бабушки оттуда подоспели.

Я бы в ответ ничего не предпринимал. Появление троянов символизирует успех платформы и их наличие не является проблемой.
То есть при поступлении жалоб можно удалять из репозитория, но не более, что-то менять не нужно, цензуру там ужесточать какую нибудь например, не надо.

P.S. откуда копипаста с lil?

https://github.com/canonical-websites/snapcraft.io/issues/651#event-1623150227

Ну логично...

Вышла Ubuntu 18.04 LTS (комментарий)

У них просто проблема с коммуникацией юзверю, подобная pip/npm. Нужно более чётко разграничить, что репы проверяются, а в snap любой Васян может залить пакет. Сейчас создаётся впечатление, что снапы проходят ревью а ля ябблостор. Что, мягко говоря, не так.

Такое правильно делает Арчик со своим AUR.

Появление троянов символизирует успех платформы

Вообще-то нет. Это символизирует прокол в защите.

Вообще-то нет. Это символизирует прокол в защите.

Необходимость самостоятельно скачать троян и запустить не является уязвимостью платформы.

Такое правильно делает Арчик со своим AUR.

Действительно делает? Или быть может AUR представляет куда меньший интерес для злоумышленика?

В docker'е, например, есть официальные контейнеры и прочие, которые для ССЗБ.

Ну, у них там способ установки из реп и AURа весьма заметно отличается, в отличие от snap, который выглядит, как apt-get для пользователя.

Вообще-то является, так как этот метод скачивания активно пропагандировался, без какого-либо разъяснения, что это токсичная помойка.