forum.opennet.ru - "В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета" (54)

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"	+/–
Сообщение от opennews (?), 14-Июн-26, 14:52
Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код подставлен ещё в 54 пакета, оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставлена обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65685
Ответить \| Правка \| Cообщить модератору

Оглавление

well , ы (?), 14:52 , 14-Июн-26, (1) +1
А зачем вообще аур сегодня Актуально было 20 лет назад, потому что rpm собирать, Аноним (2), 15:01 , 14-Июн-26, (2) –2

ты в помойках шаришь, не ной (?), 17:43 , 14-Июн-26, (28)
Ну так АУР это не всегда перепаковка deb rpm Иногда это еще сборка из сырцов ил, Комиссар (?), 18:05 , 14-Июн-26, (33) +1
Все еще Особенно ядро патченное, Аноним (39), 18:13 , 14-Июн-26, (39)

может проблема не в aur, а в npm например , Аноним (3), 15:03 , 14-Июн-26, (3) –1

Крутая логика Дом вскрыли монтировкой, потому что там не было замка, камер и си, Аноним (9), 15:51 , 14-Июн-26, (9) +3
Тем временем в новости Да, проблема в npm 129318 , Аноним (22), 16:50 , 14-Июн-26, (22)

AUR ВСЁ , Аноним (4), 15:10 , 14-Июн-26, (4) –4

не AUR, а orphaned, bitman (??), 15:25 , 14-Июн-26, (6)
Не однозначное высказывание , Аноним (7), 15:43 , 14-Июн-26, (7)
Наше ВСЁ , Аноним (47), 18:29 , 14-Июн-26, (47)

А что, flatpack не помог , Аноним (5), 15:15 , 14-Июн-26, (5) –2

Помог Ведь ломают AUR, а не Flatpack Ты даже заголовок не осилил 129318 , Аноним (22), 16:52 , 14-Июн-26, (23) +1
А думаешь кто-то проверяет что он там устанавливает , Комиссар (?), 18:06 , 14-Июн-26, (34)

Почему заброшенные пакеты не удаляют, а передают любому желающему Предупреждени, Аноним (7), 15:51 , 14-Июн-26, (8) +2

У тебя так сопровождающих не останется А ответ это power tripping, результат ни, Аноним (2), 15:55 , 14-Июн-26, (10)
даже в отпуск не съездить, Аноним (18), 16:29 , 14-Июн-26, (18)
удаляются, раз в два годаhttps wiki archlinux org title AUR_Cleanup_Dayа почем, небесный ученый (?), 17:15 , 14-Июн-26, (27) –1

Зачем они это делают На данных пользователей арча можно как-то поживиться , Аноним (11), 15:56 , 14-Июн-26, (11)

Ну да Тот же криптокошелёк украсть или просто плюс один к ботнету , iPony128052 (?), 17:06 , 14-Июн-26, (26)

мало вериться, в большинстве случаев пакеты рецепты заброшены не просто так Есл, небесный ученый (?), 18:01 , 14-Июн-26, (31)

Мне вот интересно почему атаки именно на Arch Не Void и не NixOS а именно Arch, АДмин (?), 15:59 , 14-Июн-26, (12) +1

На серверах популярен, свежий относительно стабильный софт и роллинг Ну, есть т, Аноним (2), 16:06 , 14-Июн-26, (13)

Убей себя ап стену, anonymos (?), 16:20 , 14-Июн-26, (15)
https get opensuse org ru tumbleweed , Аноним (4), 16:21 , 14-Июн-26, (16) –2

Скрыто модератором, Аноним (14), 16:06 , 14-Июн-26, (14)
Потому что дристр для школоты btw, Аноним (19), 16:30 , 14-Июн-26, (19) –1
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее боль, iPony128052 (?), 17:05 , 14-Июн-26, (25)

А при чем тут эти дубовые колымаги Речь-то о десктопахПоставь-ка в эти коряги т, Комиссар (?), 18:10 , 14-Июн-26, (36) –1
Тем надежнее бдит 1000гл 3 , Аноним (47), 18:13 , 14-Июн-26, (40)
при чем тут дырявость AUR это не баг а фича , как и доброта это не порок Тем, небесный ученый (?), 18:23 , 14-Июн-26, (44)

Дырявость это не отменяет, если даже об этом написать , iPony128052 (?), 18:25 , 14-Июн-26, (45)

Скрыто модератором, небесный ученый (?), 18:35 , 14-Июн-26, (48) –1

И такие решения принимают разработчики, а не анонимы Если разработчики начинают , iPony128052 (?), 18:49 , 14-Июн-26, (51)

ты знаешь как расшифровывается AUR , небесный ученый (?), 18:59 , 14-Июн-26, (55)

Оно не выдержало интеллектуального превосходства арчеводов Даже сюда в коммента, Аноним (47), 18:21 , 14-Июн-26, (43) –2
Смотри Steam-статистику Какие дистры там отожрали 50 Что до Void NixOS 8212, Комиссар (?), 18:27 , 14-Июн-26, (46) –1

npm config set ignore-scripts true, Аноним (17), 16:25 , 14-Июн-26, (17)

И как это тебе поможет , Аноним (22), 16:53 , 14-Июн-26, (24)
sudo pamac remove nodejs npm --orphans, Комиссар (?), 18:14 , 14-Июн-26, (41) +1

Преступная группа идёт по пути наибольшего сопротивления А почему Вот, если , Аноним (7), 16:38 , 14-Июн-26, (20) –2
Да бессмысленно - эта аудитория необучаема В прошлой новости адепты Арча пели, , Аноним (22), 17:54 , 14-Июн-26, (29)

Написать тебе техническое ревью на твой недопакетный менеджер Или ты и сам всё , Испанский стыд (?), 18:11 , 14-Июн-26, (37) –1

Пиши, конечно , Аноним (22), 18:17 , 14-Июн-26, (42)

AUR или не AUR Вообще-то любой мейнтейнер может вставить в свой пакет всё чт, Аноним (30), 17:56 , 14-Июн-26, (30) +1
Не позорил бы cpакир себя NEOcиляTORством Арча, учительницу русского языка и исп, Испанский стыд (?), 18:09 , 14-Июн-26, (35)
Сообщение с обращением на вы , хотяб написано слитно Какой-то нерусскоязычны, Аноним (38), 18:12 , 14-Июн-26, (38) +1

Украинцы русский в школах не изучают , Аноним (50), 18:45 , 14-Июн-26, (50)
Да там сразу видно, что строка -- выхлоп ИИ или какого-то переводчика Ещё с мес, Аноним (52), 18:52 , 14-Июн-26, (52)
И албанский вместо олбанский , тухломлмка , Аноним (52), 18:54 , 14-Июн-26, (53)

Скрыто модератором, Аноним (50), 18:45 , 14-Июн-26, (49)
кстати, вспомнилось как с пол года назад пытались гасить инфраструктуру Арчаhttp, небесный ученый (?), 18:54 , 14-Июн-26, (54)
Кто-то сильно завидует главному десктопному дистрибутиву , name (??), 19:00 , 14-Июн-26, (56)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от ы (?), 14-Июн-26, 14:52 +1 +/–

> AUR
> @
> looks inside
> @
> npm
well...

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 14-Июн-26, 15:01 –2 +/–

А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #33, #39

3. Сообщение от Аноним (3), 14-Июн-26, 15:03 –1 +/–

может проблема не в aur, а в npm например?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #22

4. Сообщение от Аноним (4), 14-Июн-26, 15:10 –4 +/–

AUR ВСЁ !

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7, #47

5. Сообщение от Аноним (5), 14-Июн-26, 15:15 –2 +/–

А что, flatpack не помог?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #34

6. Сообщение от bitman (??), 14-Июн-26, 15:25 +/–

не AUR, а orphaned

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 14-Июн-26, 15:43 +/–

> AUR ВСЁ !
Не однозначное высказывание.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (7), 14-Июн-26, 15:51 +2 +/–

Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #18, #27

9. Сообщение от Аноним (9), 14-Июн-26, 15:51 +3 +/–

Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (2), 14-Июн-26, 15:55 +/–

У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 14-Июн-26, 15:56 +/–

Зачем они это делают? На данных пользователей арча можно как-то поживиться?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

12. Сообщение от АДмин (?), 14-Июн-26, 15:59 +1 +/–

Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #14, #19, #25, #43, #46

13. Сообщение от Аноним (2), 14-Июн-26, 16:06 +/–

На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15, #16

14. Сообщение от Аноним (14), 14-Июн-26, 16:06 Скрыто ботом-модератором +/–

потому что шерето кривое

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

15. Сообщение от anonymos (?), 14-Июн-26, 16:20 +/–

> Впрочем, из альтернатив у тебя только Федора
Убей себя ап стену

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

16. Сообщение от Аноним (4), 14-Июн-26, 16:21 –2 +/–

https://get.opensuse.org/ru/tumbleweed/

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (17), 14-Июн-26, 16:25 +/–

npm config set ignore-scripts true

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #41

18. Сообщение от Аноним (18), 14-Июн-26, 16:29 +/–

> 30 дней не размышление
даже в отпуск не съездить

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

19. Сообщение от Аноним (19), 14-Июн-26, 16:30 –1 +/–

Потому что дристр для школоты btw

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (7), 14-Июн-26, 16:38 –2 +/–

Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...

Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 14-Июн-26, 16:50 +/–

> может проблема не в aur, а в npm например?
Тем временем в новости:
> в этот раз задействована платформа bun
Да, проблема в npm. 🤦

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

23. Сообщение от Аноним (22), 14-Июн-26, 16:52 +1 +/–

Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

24. Сообщение от Аноним (22), 14-Июн-26, 16:53 +/–

И как это тебе поможет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от iPony128052 (?), 14-Июн-26, 17:05 +/–

Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак.
У арча он явно выше чем у Void и NixOS

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #36, #40, #44

26. Сообщение от iPony128052 (?), 14-Июн-26, 17:06 +/–

Ну да.
Тот же криптокошелёк украсть или просто плюс один к ботнету.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #31

27. Сообщение от небесный ученый (?), 14-Июн-26, 17:15 –1 +/–

> Почему заброшенные пакеты не удаляют
удаляются, раз в два года
https://wiki.archlinux.org/title/AUR_Cleanup_Day
> а передают любому желающему?
а почему бы и нет ?
любой желающий может прислать пакет(точнее рецепт сборки пакета);
любой желающий может поддерживать пакет;
любой желающий может поднять брошенное знамя;
минимум ограничений.
Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину.
Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от не ной (?), 14-Июн-26, 17:43 +/–

ты в помойках шаришь

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

29. Сообщение от Аноним (22), 14-Июн-26, 17:54 +/–

> Зафиксирована ещё одна атака на AUR, [...] был добавлен вывод [..] с [...] предложением поменять дистрибутив или перестать использовать AUR.
Да бессмысленно - эта аудитория необучаема. В прошлой новости адепты Арча пели, что "нужно всего лишь смотреть, что в PKGBUILD файлах 😤".
Доигрались в крутых хакиров, "контролирующих свою систему". Правда, хакирам никто не сказал, что запускать баш-портянки из публичной помойки - это не совсем по-хакерски. 😳

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

30. Сообщение от Аноним (30), 14-Июн-26, 17:56 +1 +/–

AUR или не AUR?... Вообще-то любой мейнтейнер может вставить в свой пакет всё что захочет. Просто если код читают много людей они это заметят, если никто не читает, то не заметят. Но и ещё репутауция.

Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от небесный ученый (?), 14-Июн-26, 18:01 +/–

мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так.
Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности.
Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью.
Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе.
Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

33. Сообщение от Комиссар (?), 14-Июн-26, 18:05 +1 +/–

Ну так АУР это не всегда перепаковка deb/rpm. Иногда это еще сборка из сырцов или перефасовка appimage. И как следствие — своевременные обновления без многогигабайтных зависимостей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

34. Сообщение от Комиссар (?), 14-Июн-26, 18:06 +/–

А думаешь кто-то проверяет что он там устанавливает?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

35. Сообщение от Испанский стыд (?), 14-Июн-26, 18:09 +/–

> ... поставьте нормальный дистр и не позорьтесь ...
Не позорил бы cpакир себя NEOcиляTORством Арча, учительницу русского языка и испoлнительную влaсть РФ - что до сих пор к mamке за ухо не отвели.

Ответить | Правка | Наверх | Cообщить модератору

36. Сообщение от Комиссар (?), 14-Июн-26, 18:10 –1 +/–

А при чем тут эти дубовые колымаги? Речь-то о десктопах
Поставь-ка в эти коряги такие базовые десктоп-штуки как Steam, CoreCtrl и bluetooth — взвоешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

37. Сообщение от Испанский стыд (?), 14-Июн-26, 18:11 –1 +/–

Написать тебе техническое ревью на твой недопакетный менеджер? Или ты и сам всё понимаешь?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #42

38. Сообщение от Аноним (38), 14-Июн-26, 18:12 +1 +/–

>вывод нецензурного сообщения на русском языке
Сообщение с обращением на "вы", "хотяб" написано слитно. Какой-то нерусскоязычный деятель.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #52, #53

39. Сообщение от Аноним (39), 14-Июн-26, 18:13 +/–

Все еще. Особенно ядро патченное

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

40. Сообщение от Аноним (47), 14-Июн-26, 18:13 +/–

> Чем больше коэффициент популярности
Тем надежнее бдит 1000гл@3!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

41. Сообщение от Комиссар (?), 14-Июн-26, 18:14 +1 +/–

sudo pamac remove nodejs npm --orphans

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

42. Сообщение от Аноним (22), 14-Июн-26, 18:17 +/–

> Написать тебе техническое ревью на твой недопакетный менеджер?
Пиши, конечно!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

43. Сообщение от Аноним (47), 14-Июн-26, 18:21 –2 +/–

Оно не выдержало интеллектуального превосходства арчеводов. Даже сюда в комментарии пришло и.. расплаkalось.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

44. Сообщение от небесный ученый (?), 14-Июн-26, 18:23 +/–

при чем тут дырявость ? AUR "это не баг а фича", как и доброта это не порок. Тем боле везде где тока можно написано что-то типа этого:
Warning AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #45, #51

45. Сообщение от iPony128052 (?), 14-Июн-26, 18:25 +/–

> при чем тут дырявость ? AUR "это не баг а фича"
Дырявость это не отменяет, если даже об этом написать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #48

46. Сообщение от Комиссар (?), 14-Июн-26, 18:27 –1 +/–

Смотри Steam-статистику. Какие дистры там отожрали 50+%?
Что до Void/NixOS — это тупик: для десктопа они слишком засохшие, а для прода — мало того что не продаются, не имеют оффсапорта, так еще и требуют неадекватной компетенции аникеев.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

47. Сообщение от Аноним (47), 14-Июн-26, 18:29 +/–

Наше ВСЁ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

48. Сообщение от небесный ученый (?), 14-Июн-26, 18:35 Скрыто ботом-модератором –1 +/–

ты пытаешься сказать что дырки в штанах для ног и туловища это дырявость, нет, дырявость это когда у тебя лишняя дырка на заднице.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от Аноним (50), 14-Июн-26, 18:45 Скрыто ботом-модератором +/–

В Линуксе же нет вирусов вы все врёте!

Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 14-Июн-26, 18:45 +/–

Украинцы русский в школах не изучают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

51. Сообщение от iPony128052 (?), 14-Июн-26, 18:49 +/–

> это не баг а фича
И такие решения принимают разработчики, а не анонимы.
Если разработчики начинают менять правила и всё такое, значит ситуация не устраивает.
А не так что это не баг, а фича.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #55

52. Сообщение от Аноним (52), 14-Июн-26, 18:52 +/–

Да там сразу видно, что строка -- выхлоп ИИ или какого-то переводчика. Ещё с месяцем гордости поздравил, а это ну совсем Трампанальная тема.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

53. Сообщение от Аноним (52), 14-Июн-26, 18:54 +/–

И "албанский" вместо "олбанский", тухломлмка...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

54. Сообщение от небесный ученый (?), 14-Июн-26, 18:54 +/–

кстати, вспомнилось как с пол года назад пытались гасить инфраструктуру Арча
https://archlinux.org/news/recent-services-outages/
где-то с месяц чувствовались периодичные перебои
теперь вот это
возможно даже звенья одной цепи
выхлопа как и смысла по итогу ноль, но нагадить нагадили

Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от небесный ученый (?), 14-Июн-26, 18:59 +/–

ты знаешь как расшифровывается AUR ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

56. Сообщение от name (??), 14-Июн-26, 19:00 +/–

Кто-то сильно завидует главному десктопному дистрибутиву.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от ы (?), 14-Июн-26, 14:52	+1 +/–
> AUR > @ > looks inside > @ > npm well...
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Аноним (2), 14-Июн-26, 15:01	–2 +/–
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28, #33, #39

3. Сообщение от Аноним (3), 14-Июн-26, 15:03	–1 +/–
может проблема не в aur, а в npm например?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #22

4. Сообщение от Аноним (4), 14-Июн-26, 15:10	–4 +/–
AUR ВСЁ !
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #7, #47

5. Сообщение от Аноним (5), 14-Июн-26, 15:15	–2 +/–
А что, flatpack не помог?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23, #34

6. Сообщение от bitman (??), 14-Июн-26, 15:25	+/–
не AUR, а orphaned
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

7. Сообщение от Аноним (7), 14-Июн-26, 15:43	+/–
> AUR ВСЁ ! Не однозначное высказывание.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

8. Сообщение от Аноним (7), 14-Июн-26, 15:51	+2 +/–
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #18, #27

9. Сообщение от Аноним (9), 14-Июн-26, 15:51	+3 +/–
Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

10. Сообщение от Аноним (2), 14-Июн-26, 15:55	+/–
У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (11), 14-Июн-26, 15:56	+/–
Зачем они это делают? На данных пользователей арча можно как-то поживиться?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

12. Сообщение от АДмин (?), 14-Июн-26, 15:59	+1 +/–
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13, #14, #19, #25, #43, #46

13. Сообщение от Аноним (2), 14-Июн-26, 16:06	+/–
На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #15, #16

14. Сообщение от Аноним (14), 14-Июн-26, 16:06 Скрыто ботом-модератором	+/–
потому что шерето кривое
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

15. Сообщение от anonymos (?), 14-Июн-26, 16:20	+/–
> Впрочем, из альтернатив у тебя только Федора Убей себя ап стену
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

16. Сообщение от Аноним (4), 14-Июн-26, 16:21	–2 +/–
https://get.opensuse.org/ru/tumbleweed/
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13

17. Сообщение от Аноним (17), 14-Июн-26, 16:25	+/–
npm config set ignore-scripts true
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #41

18. Сообщение от Аноним (18), 14-Июн-26, 16:29	+/–
> 30 дней не размышление даже в отпуск не съездить
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

19. Сообщение от Аноним (19), 14-Июн-26, 16:30	–1 +/–
Потому что дристр для школоты btw
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (7), 14-Июн-26, 16:38	–2 +/–
Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...
Ответить \| Правка \| Наверх \| Cообщить модератору

22. Сообщение от Аноним (22), 14-Июн-26, 16:50	+/–
> может проблема не в aur, а в npm например? Тем временем в новости: > в этот раз задействована платформа bun Да, проблема в npm. 🤦
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

23. Сообщение от Аноним (22), 14-Июн-26, 16:52	+1 +/–
Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

24. Сообщение от Аноним (22), 14-Июн-26, 16:53	+/–
И как это тебе поможет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

25. Сообщение от iPony128052 (?), 14-Июн-26, 17:05	+/–
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак. У арча он явно выше чем у Void и NixOS
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #36, #40, #44

26. Сообщение от iPony128052 (?), 14-Июн-26, 17:06	+/–
Ну да. Тот же криптокошелёк украсть или просто плюс один к ботнету.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #31

27. Сообщение от небесный ученый (?), 14-Июн-26, 17:15	–1 +/–
> Почему заброшенные пакеты не удаляют удаляются, раз в два года https://wiki.archlinux.org/title/AUR_Cleanup_Day > а передают любому желающему? а почему бы и нет ? любой желающий может прислать пакет(точнее рецепт сборки пакета); любой желающий может поддерживать пакет; любой желающий может поднять брошенное знамя; минимум ограничений. Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину. Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

28. Сообщение от не ной (?), 14-Июн-26, 17:43	+/–
ты в помойках шаришь
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

29. Сообщение от Аноним (22), 14-Июн-26, 17:54	+/–
> Зафиксирована ещё одна атака на AUR, [...] был добавлен вывод [..] с [...] предложением поменять дистрибутив или перестать использовать AUR. Да бессмысленно - эта аудитория необучаема. В прошлой новости адепты Арча пели, что "нужно всего лишь смотреть, что в PKGBUILD файлах 😤". Доигрались в крутых хакиров, "контролирующих свою систему". Правда, хакирам никто не сказал, что запускать баш-портянки из публичной помойки - это не совсем по-хакерски. 😳
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #37

30. Сообщение от Аноним (30), 14-Июн-26, 17:56	+1 +/–
AUR или не AUR?... Вообще-то любой мейнтейнер может вставить в свой пакет всё что захочет. Просто если код читают много людей они это заметят, если никто не читает, то не заметят. Но и ещё репутауция.
Ответить \| Правка \| Наверх \| Cообщить модератору

31. Сообщение от небесный ученый (?), 14-Июн-26, 18:01	+/–
мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так. Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности. Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью. Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе. Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26