В магазине приложений Snap Store (snapcraft.io), который поддерживается компанией Canonical, выявлены вредоносные пакеты.
Ряд пользователей, которые устанавливали пакеты из Snap Store, сообщили о нескольких вредоносных snap-пакетах. В связи с этими сообщениями команда Snap Store сразу же удалила данные пакеты из магазина приложений, а также временно ввела ручную модерацию всех новых пакетов. Ручная проверка распространяется только на новые пакеты, при этом проверка обновлений уже зарегистрированных пакетов выполняется в автоматическом режиме. Canonical принесла извинения издателям и разработчикам за возможные неудобства, которые могут возникнуть в связи с данным изменением.
Вредоносные пакеты маскировались под официальные программы для работы с криптокошельками и воровали деньги у пользователей. На форуме Canonical Snapcraft один из пользователей написал следующее:
...Принцип работы заключается в том, что приложение запрашивает у вас код резервного копирования (список слов). По своей глупости я был обманут этим приложением и потерял значительную сумму денег.
Больше всего меня беспокоит то, что мой компьютер/пароли/файлы могут быть скомпрометированы...
Комментарии
10:32
10:33
10:55
12:09
12:12
Я когда расширения в AMO смотрю/выбираю, то обращаю внимание на наличие сайта, почты для связи, в общем, чтоб поддержка какая-то была.
10:52
Инструменты для выявления вредоносного кода не помогли?
Если автоматическая проверка пропустила раньше, то что она может выявить повторно?
12:28
12:53
13:37
'Образ Appimage представляет из себя обычный ISO образ, в котором находятся все необходимые компоненты программы, при запуске он автоматически монтируется и выполняется программа. Поскольку для запуска не нужно никакого программного обеспечения в системе, эта технология может использоваться абсолютно в любом дистрибутиве. Хотя для запуска программы не требуются права root, тут уже нет такого уровня безопасности, программа может спокойно работать с файлами пользователя, как и другие обычные программы, а если каких-нибудь библиотек в образе недостает, программа загружает их из системы."
19:37
https://vid.priv.au/watch?v=f8AcHUFhslU
20:14
20:18
20:49
Уязвимость была, позволяла повышать права пользователя.
https://www.securitylab.ru/news/491278.php
https://xakep.ru/2001/11/02/13887/
Есть старое видео, 12 лет где разбирали обнаруженные уязвимостей 0day, начиная от логических ошибок и заканчивая повреждением памяти, наряду с обсуждением того, как они были обнаружены и использованы
https://m.youtube.com/watch?v=Xf7gVma6_3g
20:24
https://t.me/freshlife28_official/1520
16:53
14:12
У меня никаких криптокошельков нету и платёжных систем, лучше наличных денег ещё ничего не придумано.
14:15
14:33
14:39
Несмотря на неприятную ситуацию не вижу повода отказываться от использования snap-пакетов.
15:12
15:27
В репозиториях программы собираются определенными ментейнерами и в случае чего к ним будут вопросы, в случае с снапстором вопросы к ананимусу. PPA например по безопасности на уровне снапстора, но он не вшит в систему по умолчанию.
17:00
Эта ситуация и реакция Canonical (очень правильная, с моей точки зрения) показывает что Canonical ответственная компания, но то что Canonical буквально разленилась и больше не делает инноваций — это facts
14:41
16:15
В таких случаях любят всё списывать на утечки, хакеров итд
15:46
https://pingvinus.ru/gallery/4792#c88714
18:15
19:00
А когда ниКаноникал анонсирует собственный "правильный" и безопасный снапстор, будет еще неожиданней.
Разумеется с доступом только из "хороших" стран и возможностью удаления с ПК пользователей уже установленных пакетов.
19:06
20:19
Да и MS Store это не то к чему они стремятся.
Им обороты и зонды Google Play\ Apple Store покоя не дают.
20:26
А вот про IBM новость, мягко говоря, не из приятных - я думал, тольшо "шапки" продались оным. Ан нет...
Выходит, та реклама из нулевых про linux от IBM была как бы намеком.
20:20
00:08
11:55
Свой дистрибутив определяется не советами "знатоков", а путем долгого драматического поиска бессонными ночами многими неделями, а то и месяцами. Только на основе этого мучительного опыта ты поймешь, какой дистрибутив тебе подходит. Все остальное от лукавого.
13:17
1. Что я знаю о дистрибутиве и смогу ли сам его установить/ обслуживать.
Как легко найти информацию, если возникнет проблема?
2. Совместим ли дистрибутив с моим компьютером/ноутбуком. Если нет, то смогули я использовать компьютер/ ноутбук для работы при потери части функционала?
3. Есть ли нужные мне программы в репозиториях. Если нет, то как легко мне их будет установить? Есть ли аналоги, с нужным мне функционалом?
20:08
- на сервере (где собственно твоя веб жить) в лучшем случае будут убунта 20, ратхат 8 или дебиан 10. А то и чтото постаринней
- кодить (как в общем-то и жить) проще на максимально актуальных версиях ПО. Ну или по заветам дебиащиков, обмазываться снап-фат-паками
И Manjaro - не роллинг. Или роллинг но один день в месяц
13:08
13:33
14:05