Крупнейшая атака на ArchLinux. Внедрено более 1500 пакетов, которые воруют данные. Linux новости

Крупнейшая атака на ArchLinux. Внедрено более 1500 пакетов, которые воруют данные

39
Лайков: +13
войдите, чтобы ставить лайки

ArchLinux взломали

В репозитории AUR дистрибутива ArchLinux выявлена масштабная атака, из-за которой в AUR было внедрено более 1500 пакетов, содержащих вредоносное ПО. По некоторым данным, их количество превышает 1900. Репозиторий AUR (Arch User Repository) — это коллекция пакетов от сообщества, которые собираются из исходных кодов. Официальные репозитории Arch Linux не пострадали.

Злоумышленникам удалось внедрить команды в сценарии сборки (PKGBUILD), которые содержали инструкции развертывания ПО для кражи пользовательских данных. Такой подход позволял злоумышленникам распространять вредоносное ПО, не модифицируя само программное обеспечение. Они добавили команды, которые во время установки пакета автоматически скачивали и запускали замаскированный NPM-пакет atomic-lockfile (или его вариации).

Вредоносная программа написана на Rust и представляет собой инфостиллер — программу для кражи данных. Инфостиллер собирал данные браузеров, SSH-ключи, историю команд оболочки, API токены, учетные данные популярных программ. ПО было замаскировано под процесс ядра и выполнялось с повышенными привилегиями.

Список пакетов, которые были скомпрометированы, представлен на странице: https://md.archlinux.org/s/SxbqukK6IA

Команда ArchLinux уже провела масштабную зачистку скомпрометированных пакетов в AUR. Чтобы остановить атаки разработчикам пришлось пойти на крайние меры: временно заблокировать регистрацию новых аккаунтов, а также ограничить создание и обновление пакетов.

Пользователям рекомендовано рассматривать любой пакет из AUR, установленный или обновленный после 11 июня 2026 года, как потенциально скомпрометированный. В первую очередь проверить пакеты из списка. Рекомендуется немедленно сменить все пароли, SSH-ключи и API-токены, которые могли храниться в системе. Если пользователь устанавливал подозрительные пакеты с правами root, то стандартное удаление может быть недостаточным — рекомендовано переустановить систему.

39
  • Опубликовано: 19.06.2026

Комментарии

UlyssesJJ
Активный пользователь
Активный
19.06.2026
10:32
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
0
войдите, чтобы ставить лайки
Рубрика "старости" :D
x230
Активный пользователь
Активный
19.06.2026
11:01
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+1
войдите, чтобы ставить лайки
Мои несколько несчастных пакетов из АУРа в списке отсутствуют.

crengine-ng-git
crqt-ng-git
octopi
qlipper
qt-sudo
ungoogled-chromium-bin

Так что запасся попкорном и смотрю на развитие событий...
Minor748
Активный пользователь
Активный
19.06.2026
12:39
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
+2
войдите, чтобы ставить лайки
Не волнуйся, в следующий раз повезёт ;-)
scorpii
Активный пользователь
Активный
19.06.2026
12:42
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийMinor748Родительский комментарий
0
войдите, чтобы ставить лайки
Злой ты (с)
Minor748
Активный пользователь
Активный
19.06.2026
12:51
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийscorpiiРодительский комментарий
+1
войдите, чтобы ставить лайки
Обнадёживает эта фраза ^_^
> Если пользователь устанавливал подозрительные пакеты с правами root, то стандартное удаление может быть недостаточным — рекомендовано переустановить систему.

Ещё один инцидент был, я писал ранее про него, в заметке не упомянуто. Тот случай, когда переводчик не нужен для иностранного ресурcа :D
https://www.phoronix.com/news/Arch-Linux-AUR-Russian-Spam
Minor748
Активный пользователь
Активный
19.06.2026
18:43
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийscorpiiРодительский комментарий
+1
войдите, чтобы ставить лайки
Похвастаюсь — я тоже на XLibre перешёл на днях )) Его оказалось дождаться быстрее, нежели Wayland, ползущий аж с 12-го года.
https://ibb.co/ccQXPHJD
scorpii
Активный пользователь
Активный
19.06.2026
18:45
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийMinor748Родительский комментарий
+2
войдите, чтобы ставить лайки
Не, не мое, уж увольте))
Hargard
Активный пользователь
Активный
19.06.2026
11:07
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+3
войдите, чтобы ставить лайки
Нуууу, тут типичное диалектическое противоречие:

- да AUR неидеален, рабоспособность пакетов не гарантирована, еще сыпет частыми обновлениями.
- только вот альтернативы — еще хуже. У fatpuck/snap пакетов намного меньше, работают они часто хуже, а место на диске занимают побольше pacman-кеша

И с безопасностью — точно таким же образом, не все однозначно:
- AUR-овский PKGBUILD распространяется в текстовом виде, всё сообщество их могут читать, графические пакетники отображают его перед скачиванием, а перед самой сборкой его легко поправить
- А вот какие патчи были внесены в бинарник, запакованный flatpak'ом — никто кроме уполномоченных людей, не узнает никогда.

Тем более что сам управляющий ими демон выполняется 100% времени, приколочен к сетевой инфраструктуре скоей копрорации и имеет исключительные права не только к самим контейнерам, но и всей системе в целом. И потому каждая мало-мальски "успешная" корпорация активно топит за их внедрение.
choice
Активный пользователь
Активный
19.06.2026
11:28
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийHargardРодительский комментарий
+1
войдите, чтобы ставить лайки
С безопасностью понятно, она идёт одним пакетом: доверяешь компании, значит и её flatpak-aм. Сторонние под свою ответственность.
А из AUR брать только то, что нигде больше не найти, а очень надо, прямо необходимо. Тут самое время ещё раз подумать, а сильно ли надо?
Вон х230 берёт octopi. Он всё понимает, просто очень хочется.
netware
Активный пользователь
Активный
21.06.2026
14:05
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийHargardРодительский комментарий
0
войдите, чтобы ставить лайки
Выскожу исключительно имхо: Дело не в том, хорош аур или плох, точнее не столько в этом... А дело в том что у Арча самое малое (по крайне мере до недавнего времени было именно так) количество пакетов в основных репозиториях, что и компенсирует аур - и разумной альтернативой было бы выбирать тот дистр у кого изначально пакетная база значительно шире. В этом случае как раз отпадает необходимость в подобных пользовательских репах, что и повышает безопасность системы и снижает риск компрометации пакетов.

Собственно отсюда и все упреки в сторону арча
choice
Активный пользователь
Активный
21.06.2026
14:44
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийnetwareРодительский комментарий
0
войдите, чтобы ставить лайки
Ставил голый Debian + xfce ~1200 пакетов, ставил Arch + xfce ~470. Дело в дискретности, в Debian всё мельче нарезано, от этого пакетов значительно больше. Отсюда и такие заблуждения про пакетные базы.
Есть и другой момент. Всё, что есть в deb или rpm можно пересобрать для Arch и подозреваю, что нередко так и поступают, поэтому нехватки в ПО нет.
С трудом найдётся ПО, если найдётся, которое есть в репах Debian или Fedora, а в Arch оно "отстаивается" в AUR.
Minor748
Активный пользователь
Активный
21.06.2026
16:20
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийnetwareРодительский комментарий
0
войдите, чтобы ставить лайки
Приблема, кмк, несколько глубже — проблема в централизации. У Void скудные репы, хотя для базовой работы этого достаточно, они расширяются, пополняются. Я постоянно обновляю git, стараюсь собирать пакеты самостоятельно, поэтому вижу, что кроме изменений прилетают и новые, редкость.
https://ibb.co/rftjNK96

Что до сторонних реп, у меня подключены парочка. Кто станет распространять всякую дрянь, если там и так почти никого?..
https://ibb.co/twTyDWpY

Такое вот у них сообещество арчеводов, либо кто-то решил им нагадить, есть за что.
EvPix
Активный пользователь
Активный
19.06.2026
14:21
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+2
войдите, чтобы ставить лайки
Удивительно, но ни одного заражённого пакета не установлено.
В основном пострадали пакеты без сопровождающего.
baraban
Активный пользователь
Активный
20.06.2026
23:11
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
+2
войдите, чтобы ставить лайки
Слава богу выбрал дебиан стеибл)
Hargard
Активный пользователь
Активный
21.06.2026
00:08
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийbarabanРодительский комментарий
+2
войдите, чтобы ставить лайки
А чем стеибльность обеспечивается?
а) подсадкой на 20+ сторонних репозиториев?
б) регулярными набегами на sid и бекпорты?
в) Flathub'ом? Appimage? Боже мой, Snap?
г) Сжиганием озонового слоя компиляторами?
д) Или самоизоляцией в браузере?
Minor748
Активный пользователь
Активный
21.06.2026
00:14
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийHargardРодительский комментарий
0
войдите, чтобы ставить лайки
Установкой кастомного ядра последней версии. Чем ещё может обеспечиваться стебельность?..

2 предварительные ветки для тестирования и много пар глаз наблюдателей для выявления проблем. Плата за это — устаревшее всё, подходит для печатных машинок.
bur80
Активный пользователь
Активный
21.06.2026
10:41
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийbarabanРодительский комментарий
0
войдите, чтобы ставить лайки
слава аллаху, у меня - void ^^)
x230
Активный пользователь
Активный
21.06.2026
14:10
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийbur80Родительский комментарий
+1
войдите, чтобы ставить лайки
Это вымышленное существо не при чём.
Просто не́кто решил подставить русское IT сообщество, внедряя в АУРский "сифилис" ругательства на русском языке.
Лично я расцениваю это "от обратного":
Раз русских арчеводов ругают, значит МЫ на правильном пути.

P.S. Поздравляю кстати Юрия, что таки решил проблемы с сервер(ами)ом Pngvinus'а. А то я прям расстроился... ((
Minor748
Активный пользователь
Активный
21.06.2026
16:07
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
0
войдите, чтобы ставить лайки
При чём тут русское сообщество? Речь о заметке
x230
Активный пользователь
Активный
21.06.2026
16:54
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийMinor748Родительский комментарий
0
войдите, чтобы ставить лайки
А в чем была суть заражения пакетов АУР?
Как бы вот:
https://www.securitylab.ru/news/574013.php
Minor748
Активный пользователь
Активный
21.06.2026
17:18
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
0
войдите, чтобы ставить лайки
Я выше про это писал
https://www.phoronix.com/news/Arch-Linux-AUR-Russian-Spam

Мы как бы в комментариях к заметке о вредоносных пакетах из АУР.
evgnor86
Активный пользователь
Активный
22.06.2026
16:11
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийbarabanРодительский комментарий
+1
войдите, чтобы ставить лайки
Ггг) в котором вагон не закрытых CVE. Лучше уж ролинг-модель обновления, где своевременно латают дыры
evgnor86
Активный пользователь
Активный
22.06.2026
16:00
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
0
войдите, чтобы ставить лайки
Насколько я понял, они подтягивали именно npm-пакеты. Если в системе нет nodejs и npm, то и беспокоится не о чем. Я из этого списка разве что visualstudio (правди из другого пакта... visual-studio-code-bin) использую, но никаких следов "вредоноса" не нашел. Хз...
evgnor86
Активный пользователь
Активный
22.06.2026
16:06
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийevgnor86Родительский комментарий
+2
войдите, чтобы ставить лайки
Сообщество написало скрипт проверки...
https://github.com/c78-contrib/cleanup-aur-blacklist

1. cd /tmp
2. gh repo clone c78-contrib/cleanup-aur-blacklist
3. cd cleanup-aur-blacklist/
4. ./cleanup-aur.sh
evgnor86
Активный пользователь
Активный
22.06.2026
16:06
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийevgnor86Родительский комментарий
0
войдите, чтобы ставить лайки
./cleanup-aur.sh

═══ AUR CLEANUP ═══

[*] AUR helper detected: yay
[*] Parsing packages-full.txt...
[✔] 1603 AUR packages found in file
[*] Querying installed AUR packages on system...
[✔] 72 AUR packages installed in total on system
[*] Cross-referencing lists...

[✔] No packages from the file are currently installed.

[✔] Script finished.
x230
Активный пользователь
Активный
22.06.2026
17:04
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийevgnor86Родительский комментарий
0
войдите, чтобы ставить лайки
А сколько у тебя всего пакетов из АУР, что пришлось прибегать к скрипту?

Что показывает команда:
pacman -Qqm
evgnor86
Активный пользователь
Активный
22.06.2026
17:07
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
0
войдите, чтобы ставить лайки
Вывод скрипта выше: 72 пакета. Чекнул на всякий случай.
nonamex
23.06.2026
11:43
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
0
войдите, чтобы ставить лайки
когда пользовался EOS всегда были мысли что туда в аур могут залить вредоносный код, а постоянно перед каждым обновлением проверять все сборки глазами это не вариант.
choice
Активный пользователь
Активный
23.06.2026
11:50
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийnonamexРодительский комментарий
0
войдите, чтобы ставить лайки
Уверен, что тем, чем вы пользовались из AUR, вы сейчас не пользуетесь.
nonamex
23.06.2026
16:27
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийchoiceРодительский комментарий
0
войдите, чтобы ставить лайки
пользуюсь. при переходе на деб многие сборки отпали, нашлись деб-пакеты, и парочку собрал сам из гит.
choice
Активный пользователь
Активный
23.06.2026
20:27
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийnonamexРодительский комментарий
0
войдите, чтобы ставить лайки
В каком репозитории нашлись, в основном или на стороне?
Minor748
Активный пользователь
Активный
23.06.2026
15:38
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийnonamexРодительский комментарий
+1
войдите, чтобы ставить лайки
Учётку сотрудника RedHat взломали, заразив много пакетов. Много ли дистрибутивов способны такому противостоять?..

https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/
по-русски
https://www.opennet.ru/opennews/art.shtml?num=65599

Ни одна система не безопасна ©
x230
Активный пользователь
Активный
23.06.2026
18:25
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийMinor748Родительский комментарий
0
войдите, чтобы ставить лайки
Когда/если начнутся войны корпов, - никто не сможет этому противостоять... А эти упыри за лишний миллиард мать родную продадут, не то, что БД конкурентов вскроют...
UlyssesJJ
Активный пользователь
Активный
23.06.2026
18:45
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
0
войдите, чтобы ставить лайки
Нет, во всех странах киберпреступления тоже преступления и преследуются по закону.
x230
Активный пользователь
Активный
23.06.2026
22:40
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийUlyssesJJРодительский комментарий
0
войдите, чтобы ставить лайки
Смешно, ага...
Minor748
Активный пользователь
Активный
24.06.2026
01:17
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийUlyssesJJРодительский комментарий
0
войдите, чтобы ставить лайки
В "продвинутых и умелых" странах (Америка, Корея, Китай, Россия и пр) есть свои кибервойска из государевых из хацкеров
Minor748
Активный пользователь
Активный
24.06.2026
01:15
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийx230Родительский комментарий
0
войдите, чтобы ставить лайки
Начнутся войны корпов? А ещё есть что делить, ещё остались живые медведи? Сейчас у них началась гонка за нейрослоп, уже оставлял про это две ссылки — RedHat (IBM) vs Canonical. Что там с остальными, я не видел. Мы пользуемся тем, что нам дают, чем разрешили. Остальное поделено давно
Zloy
05.07.2026
10:22
Постоянная ссылка на комментарийПостоянная ссылка на комментарий
0
войдите, чтобы ставить лайки
Так что по итогу? Никаких новостей. Я новые пакеты не ставлю, нашел утилиты, которые проверяют пакеты, но все равно. Не хочу переходить на другой т. к уже привык.
Minor748
Активный пользователь
Активный
05.07.2026
12:42
Постоянная ссылка на комментарийПостоянная ссылка на комментарийРодительский комментарийZloyРодительский комментарий
0
войдите, чтобы ставить лайки
> По итогу Арч и АУР под карантином, инфрастуктура ремонтируется, устанавливать и обновлять пакеты по-прежнему опасно.

Написать комментарий

Ник:
Текст комментария:
  • Уважать других.
  • Без оскорблений и грубости.
  • Не переходить на личности.
  • Писать на русском языке.
  • Без политики.
  • Без флуда.
  • Оффтоп запрещен.
  • Любой комментарий может быть удален без объяснения причин.
Правилаправила (наведите курсор)