
В репозитории AUR дистрибутива ArchLinux выявлена масштабная атака, из-за которой в AUR было внедрено более 1500 пакетов, содержащих вредоносное ПО. По некоторым данным, их количество превышает 1900. Репозиторий AUR (Arch User Repository) — это коллекция пакетов от сообщества, которые собираются из исходных кодов. Официальные репозитории Arch Linux не пострадали.
Злоумышленникам удалось внедрить команды в сценарии сборки (PKGBUILD), которые содержали инструкции развертывания ПО для кражи пользовательских данных. Такой подход позволял злоумышленникам распространять вредоносное ПО, не модифицируя само программное обеспечение. Они добавили команды, которые во время установки пакета автоматически скачивали и запускали замаскированный NPM-пакет atomic-lockfile (или его вариации).
Вредоносная программа написана на Rust и представляет собой инфостиллер — программу для кражи данных. Инфостиллер собирал данные браузеров, SSH-ключи, историю команд оболочки, API токены, учетные данные популярных программ. ПО было замаскировано под процесс ядра и выполнялось с повышенными привилегиями.
Список пакетов, которые были скомпрометированы, представлен на странице: https://md.archlinux.org/s/SxbqukK6IA
Команда ArchLinux уже провела масштабную зачистку скомпрометированных пакетов в AUR. Чтобы остановить атаки разработчикам пришлось пойти на крайние меры: временно заблокировать регистрацию новых аккаунтов, а также ограничить создание и обновление пакетов.
Пользователям рекомендовано рассматривать любой пакет из AUR, установленный или обновленный после 11 июня 2026 года, как потенциально скомпрометированный. В первую очередь проверить пакеты из списка. Рекомендуется немедленно сменить все пароли, SSH-ключи и API-токены, которые могли храниться в системе. Если пользователь устанавливал подозрительные пакеты с правами root, то стандартное удаление может быть недостаточным — рекомендовано переустановить систему.
Комментарии
10:32
11:01
crengine-ng-git
crqt-ng-git
octopi
qlipper
qt-sudo
ungoogled-chromium-bin
Так что запасся попкорном и смотрю на развитие событий...
12:39
12:42
12:51
> Если пользователь устанавливал подозрительные пакеты с правами root, то стандартное удаление может быть недостаточным — рекомендовано переустановить систему.
Ещё один инцидент был, я писал ранее про него, в заметке не упомянуто. Тот случай, когда переводчик не нужен для иностранного ресурcа :D
https://www.phoronix.com/news/Arch-Linux-AUR-Russian-Spam
18:43
https://ibb.co/ccQXPHJD
18:45
11:07
- да AUR неидеален, рабоспособность пакетов не гарантирована, еще сыпет частыми обновлениями.
- только вот альтернативы — еще хуже. У fatpuck/snap пакетов намного меньше, работают они часто хуже, а место на диске занимают побольше pacman-кеша
И с безопасностью — точно таким же образом, не все однозначно:
- AUR-овский PKGBUILD распространяется в текстовом виде, всё сообщество их могут читать, графические пакетники отображают его перед скачиванием, а перед самой сборкой его легко поправить
- А вот какие патчи были внесены в бинарник, запакованный flatpak'ом — никто кроме уполномоченных людей, не узнает никогда.
Тем более что сам управляющий ими демон выполняется 100% времени, приколочен к сетевой инфраструктуре скоей копрорации и имеет исключительные права не только к самим контейнерам, но и всей системе в целом. И потому каждая мало-мальски "успешная" корпорация активно топит за их внедрение.
11:28
А из AUR брать только то, что нигде больше не найти, а очень надо, прямо необходимо. Тут самое время ещё раз подумать, а сильно ли надо?
Вон х230 берёт octopi. Он всё понимает, просто очень хочется.
14:05
Собственно отсюда и все упреки в сторону арча
14:44
Есть и другой момент. Всё, что есть в deb или rpm можно пересобрать для Arch и подозреваю, что нередко так и поступают, поэтому нехватки в ПО нет.
С трудом найдётся ПО, если найдётся, которое есть в репах Debian или Fedora, а в Arch оно "отстаивается" в AUR.
16:20
https://ibb.co/rftjNK96
Что до сторонних реп, у меня подключены парочка. Кто станет распространять всякую дрянь, если там и так почти никого?..
https://ibb.co/twTyDWpY
Такое вот у них сообещество арчеводов, либо кто-то решил им нагадить, есть за что.
14:21
В основном пострадали пакеты без сопровождающего.
23:11
00:08
а) подсадкой на 20+ сторонних репозиториев?
б) регулярными набегами на sid и бекпорты?
в) Flathub'ом? Appimage? Боже мой, Snap?
г) Сжиганием озонового слоя компиляторами?
д) Или самоизоляцией в браузере?
00:14
2 предварительные ветки для тестирования и много пар глаз наблюдателей для выявления проблем. Плата за это — устаревшее всё, подходит для печатных машинок.
10:41
14:10
Просто не́кто решил подставить русское IT сообщество, внедряя в АУРский "сифилис" ругательства на русском языке.
Лично я расцениваю это "от обратного":
Раз русских арчеводов ругают, значит МЫ на правильном пути.
P.S. Поздравляю кстати Юрия, что таки решил проблемы с сервер(ами)ом Pngvinus'а. А то я прям расстроился... ((
16:07
16:54
Как бы вот:
https://www.securitylab.ru/news/574013.php
17:18
https://www.phoronix.com/news/Arch-Linux-AUR-Russian-Spam
Мы как бы в комментариях к заметке о вредоносных пакетах из АУР.
16:11
16:00
16:06
https://github.com/c78-contrib/cleanup-aur-blacklist
1. cd /tmp
2. gh repo clone c78-contrib/cleanup-aur-blacklist
3. cd cleanup-aur-blacklist/
4. ./cleanup-aur.sh
16:06
═══ AUR CLEANUP ═══
[*] AUR helper detected: yay
[*] Parsing packages-full.txt...
[✔] 1603 AUR packages found in file
[*] Querying installed AUR packages on system...
[✔] 72 AUR packages installed in total on system
[*] Cross-referencing lists...
[✔] No packages from the file are currently installed.
[✔] Script finished.
17:04
Что показывает команда:
pacman -Qqm
17:07
11:43
11:50
16:27
20:27
15:38
https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
по-русски
https://www.opennet.ru/opennews/art.shtml?num=65599
Ни одна система не безопасна ©
18:25
18:45
22:40
01:17
01:15
10:22
12:42