Arch Linux отключил регистрацию новых учётных записей в AUR
Проект Arch Linux приостановил регистрацию новых учётных записей в репозитории AUR (Arch User Repository) из-за непрекращающейся активности по подстановке вредоносного кода в пакеты и вандализма. После первой массовой атаки разработчики Arch Linux попытались защититься от проблемы через выборочные фильтры, но атакующие обошли их через замену npm на bun и обфускацию вызова своего кода в функции post_install. Возможность регистрации будет возвращена после реализации более действенной защиты.
Для захвата пакетов атакующие использовали предоставляемую в AUR возможность принимать сопровождение над пакетам, оставшихся без сопровождающих и имеющих статус «orphaned». Подобная возможность предоставлялась без ограничений и проверок любому желающему. В настоящее время в AUR размещено 107406 пакетов, из которых 13050 имеют статус «orphaned» (неделю назад было 15261). За последнюю неделю в репозитории было обновлено 5578 пакетов, а за предыдущую — 3446. В репозитории насчитывается 141967 зарегистрированных пользователей и 69 сопровождающих пакеты (в предыдущую неделю было 140949 пользователей и 69 сопровождающих).
Источник: http://www.opennet.ru/opennews/art.shtml? num=65691
© OpenNet
