forum.opennet.ru - "В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета" (58)

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В AUR осуществлена подстановка вредоносного кода ещё в 54 пакета"	+/–
Сообщение от opennews (?), 14-Июн-26, 14:52
Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код подставлен ещё в 54 пакета, оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставлена обфусцированная строка, в которой вызывается команда "bun add" для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65685
Ответить \| Правка \| Cообщить модератору

Оглавление

well , ы (?), 14:52 , 14-Июн-26, (1) +2
А зачем вообще аур сегодня Актуально было 20 лет назад, потому что rpm собирать, Аноним (2), 15:01 , 14-Июн-26, (2) –2

ты в помойках шаришь, не ной (?), 17:43 , 14-Июн-26, (28)
Ну так АУР это не всегда перепаковка deb rpm Иногда это еще сборка из сырцов ил, Комиссар (?), 18:05 , 14-Июн-26, (33) +1
Все еще Особенно ядро патченное, Аноним (39), 18:13 , 14-Июн-26, (39)

может проблема не в aur, а в npm например , Аноним (3), 15:03 , 14-Июн-26, (3) –1

Крутая логика Дом вскрыли монтировкой, потому что там не было замка, камер и си, Аноним (9), 15:51 , 14-Июн-26, (9) +4
Тем временем в новости Да, проблема в npm 129318 , Аноним (22), 16:50 , 14-Июн-26, (22)

AUR ВСЁ , Аноним (4), 15:10 , 14-Июн-26, (4) –4

не AUR, а orphaned, bitman (??), 15:25 , 14-Июн-26, (6)
Не однозначное высказывание , Аноним (7), 15:43 , 14-Июн-26, (7)
Наше ВСЁ , Аноним (47), 18:29 , 14-Июн-26, (47)

А что, flatpack не помог , Аноним (5), 15:15 , 14-Июн-26, (5) –2

Помог Ведь ломают AUR, а не Flatpack Ты даже заголовок не осилил 129318 , Аноним (22), 16:52 , 14-Июн-26, (23) +2
А думаешь кто-то проверяет что он там устанавливает , Комиссар (?), 18:06 , 14-Июн-26, (34)

Почему заброшенные пакеты не удаляют, а передают любому желающему Предупреждени, Аноним (7), 15:51 , 14-Июн-26, (8) +2

У тебя так сопровождающих не останется А ответ это power tripping, результат ни, Аноним (2), 15:55 , 14-Июн-26, (10)
даже в отпуск не съездить, Аноним (18), 16:29 , 14-Июн-26, (18)
удаляются, раз в два годаhttps wiki archlinux org title AUR_Cleanup_Dayа почем, небесный ученый (?), 17:15 , 14-Июн-26, (27) –1

Зачем они это делают На данных пользователей арча можно как-то поживиться , Аноним (11), 15:56 , 14-Июн-26, (11)

Ну да Тот же криптокошелёк украсть или просто плюс один к ботнету , iPony128052 (?), 17:06 , 14-Июн-26, (26)

мало вериться, в большинстве случаев пакеты рецепты заброшены не просто так Есл, небесный ученый (?), 18:01 , 14-Июн-26, (31)

Мне вот интересно почему атаки именно на Arch Не Void и не NixOS а именно Arch, АДмин (?), 15:59 , 14-Июн-26, (12)

На серверах популярен, свежий относительно стабильный софт и роллинг Ну, есть т, Аноним (2), 16:06 , 14-Июн-26, (13)

Убей себя ап стену, anonymos (?), 16:20 , 14-Июн-26, (15) +1
https get opensuse org ru tumbleweed , Аноним (4), 16:21 , 14-Июн-26, (16) –2

Скрыто модератором, Аноним (14), 16:06 , 14-Июн-26, (14)
Потому что дристр для школоты btw, Аноним (19), 16:30 , 14-Июн-26, (19) –1
Чем больше коэффициент популярности помноженный на дырявость - тем логичнее боль, iPony128052 (?), 17:05 , 14-Июн-26, (25)

А при чем тут эти дубовые колымаги Речь-то о десктопахПоставь-ка в эти коряги т, Комиссар (?), 18:10 , 14-Июн-26, (36) –1
Тем надежнее бдит 1000гл 3 , Аноним (47), 18:13 , 14-Июн-26, (40)
при чем тут дырявость AUR это не баг а фича , как и доброта это не порок Тем, небесный ученый (?), 18:23 , 14-Июн-26, (44)

Дырявость это не отменяет, если даже об этом написать , iPony128052 (?), 18:25 , 14-Июн-26, (45)

Скрыто модератором, небесный ученый (?), 18:35 , 14-Июн-26, (48) –1

И такие решения принимают разработчики, а не анонимы Если разработчики начинают , iPony128052 (?), 18:49 , 14-Июн-26, (51)

ты знаешь как расшифровывается AUR , небесный ученый (?), 18:59 , 14-Июн-26, (55)

По твоей нелепой логике, маинтайнерам AUR нужно было просто развести руками и ск, Аноним (22), 19:21 , 14-Июн-26, (58)

Оно не выдержало интеллектуального превосходства арчеводов Даже сюда в коммента, Аноним (47), 18:21 , 14-Июн-26, (43) –2
Смотри Steam-статистику Какие дистры там отожрали 50 Что до Void NixOS 8212, Комиссар (?), 18:27 , 14-Июн-26, (46)

npm config set ignore-scripts true, Аноним (17), 16:25 , 14-Июн-26, (17)

И как это тебе поможет , Аноним (22), 16:53 , 14-Июн-26, (24)
sudo pamac remove nodejs npm --orphans, Комиссар (?), 18:14 , 14-Июн-26, (41) +1

Преступная группа идёт по пути наибольшего сопротивления А почему Вот, если , Аноним (7), 16:38 , 14-Июн-26, (20) –2
Да бессмысленно - эта аудитория необучаема В прошлой новости адепты Арча пели, , Аноним (22), 17:54 , 14-Июн-26, (29) +1

Написать тебе техническое ревью на твой недопакетный менеджер Или ты и сам всё , Испанский стыд (?), 18:11 , 14-Июн-26, (37) –2

Пиши, конечно , Аноним (22), 18:17 , 14-Июн-26, (42)
Ты лучше напиши, как левые пакетные менеджеры относятся к темы дырявости AUR с е, Аноним (57), 19:01 , 14-Июн-26, (57)

AUR или не AUR Вообще-то любой мейнтейнер может вставить в свой пакет всё чт, Аноним (30), 17:56 , 14-Июн-26, (30) +1
Не позорил бы cpакир себя NEOcиляTORством Арча, учительницу русского языка и исп, Испанский стыд (?), 18:09 , 14-Июн-26, (35)
Сообщение с обращением на вы , хотяб написано слитно Какой-то нерусскоязычны, Аноним (38), 18:12 , 14-Июн-26, (38) +1

Да там сразу видно, что строка -- выхлоп ИИ или какого-то переводчика Ещё с мес, Аноним (52), 18:52 , 14-Июн-26, (52)

Сразу видно ему Строка совершенно явно написана человеком Или по-крайней мер, Аноним (59), 19:25 , 14-Июн-26, (59)

И албанский вместо олбанский , тухломлмка , Аноним (52), 18:54 , 14-Июн-26, (53)
Именно что русский Неруссконатив не умеет таких ашипок совершать Он скорее с п, Аноним (59), 19:31 , 14-Июн-26, (60)

Скрыто модератором, Аноним (49), 18:45 , 14-Июн-26, (49)
кстати, вспомнилось как с пол года назад пытались гасить инфраструктуру Арчаhttp, небесный ученый (?), 18:54 , 14-Июн-26, (54)
Кто-то сильно завидует главному десктопному дистрибутиву , name (??), 19:00 , 14-Июн-26, (56) +3

OpenSUSE , Аноним (61), 19:36 , 14-Июн-26, (61)

Сообщения [Сортировка по времени | RSS]

1. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +2 +/–

Сообщение от ы (?), 14-Июн-26, 14:52

> AUR
> @
> looks inside
> @
> npm
well...

Ответить | Правка | Наверх | Cообщить модератору

2. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Аноним (2), 14-Июн-26, 15:01

А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.

Ответить | Правка | Наверх | Cообщить модератору

28. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от не ной (?), 14-Июн-26, 17:43

ты в помойках шаришь

Ответить | Правка | Наверх | Cообщить модератору

33. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от Комиссар (?), 14-Июн-26, 18:05

Ну так АУР это не всегда перепаковка deb/rpm. Иногда это еще сборка из сырцов или перефасовка appimage. И как следствие — своевременные обновления без многогигабайтных зависимостей.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

39. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (39), 14-Июн-26, 18:13

Все еще. Особенно ядро патченное

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –1 +/–

Сообщение от Аноним (3), 14-Июн-26, 15:03

может проблема не в aur, а в npm например?

Ответить | Правка | Наверх | Cообщить модератору

9. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +4 +/–

Сообщение от Аноним (9), 14-Июн-26, 15:51

Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.

Ответить | Правка | Наверх | Cообщить модератору

22. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (22), 14-Июн-26, 16:50

> может проблема не в aur, а в npm например?
Тем временем в новости:
> в этот раз задействована платформа bun
Да, проблема в npm. 🤦

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –4 +/–

Сообщение от Аноним (4), 14-Июн-26, 15:10

AUR ВСЁ !

Ответить | Правка | Наверх | Cообщить модератору

6. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от bitman (??), 14-Июн-26, 15:25

не AUR, а orphaned

Ответить | Правка | Наверх | Cообщить модератору

7. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (7), 14-Июн-26, 15:43

> AUR ВСЁ !
Не однозначное высказывание.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

47. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (47), 14-Июн-26, 18:29

Наше ВСЁ?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Аноним (5), 14-Июн-26, 15:15

А что, flatpack не помог?

Ответить | Правка | Наверх | Cообщить модератору

23. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +2 +/–

Сообщение от Аноним (22), 14-Июн-26, 16:52

Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦

Ответить | Правка | Наверх | Cообщить модератору

34. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Комиссар (?), 14-Июн-26, 18:06

А думаешь кто-то проверяет что он там устанавливает?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +2 +/–

Сообщение от Аноним (7), 14-Июн-26, 15:51

Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.

Ответить | Правка | Наверх | Cообщить модератору

10. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (2), 14-Июн-26, 15:55

У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.

Ответить | Правка | Наверх | Cообщить модератору

18. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (18), 14-Июн-26, 16:29

> 30 дней не размышление
даже в отпуск не съездить

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

27. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –1 +/–

Сообщение от небесный ученый (?), 14-Июн-26, 17:15

> Почему заброшенные пакеты не удаляют
удаляются, раз в два года
https://wiki.archlinux.org/title/AUR_Cleanup_Day
> а передают любому желающему?
а почему бы и нет ?
любой желающий может прислать пакет(точнее рецепт сборки пакета);
любой желающий может поддерживать пакет;
любой желающий может поднять брошенное знамя;
минимум ограничений.
Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину.
Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (11), 14-Июн-26, 15:56

Зачем они это делают? На данных пользователей арча можно как-то поживиться?

Ответить | Правка | Наверх | Cообщить модератору

26. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от iPony128052 (?), 14-Июн-26, 17:06

Ну да.
Тот же криптокошелёк украсть или просто плюс один к ботнету.

Ответить | Правка | Наверх | Cообщить модератору

31. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от небесный ученый (?), 14-Июн-26, 18:01

мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так.
Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности.
Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью.
Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе.
Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.

Ответить | Правка | Наверх | Cообщить модератору

12. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от АДмин (?), 14-Июн-26, 15:59

Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???

Ответить | Правка | Наверх | Cообщить модератору

13. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (2), 14-Июн-26, 16:06

На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.

Ответить | Правка | Наверх | Cообщить модератору

15. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от anonymos (?), 14-Июн-26, 16:20

> Впрочем, из альтернатив у тебя только Федора
Убей себя ап стену

Ответить | Правка | Наверх | Cообщить модератору

16. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Аноним (4), 14-Июн-26, 16:21

https://get.opensuse.org/ru/tumbleweed/

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. Скрыто модератором +/–

Сообщение от Аноним (14), 14-Июн-26, 16:06

потому что шерето кривое

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

19. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –1 +/–

Сообщение от Аноним (19), 14-Июн-26, 16:30

Потому что дристр для школоты btw

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

25. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от iPony128052 (?), 14-Июн-26, 17:05

Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак.
У арча он явно выше чем у Void и NixOS

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

36. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –1 +/–

Сообщение от Комиссар (?), 14-Июн-26, 18:10

А при чем тут эти дубовые колымаги? Речь-то о десктопах
Поставь-ка в эти коряги такие базовые десктоп-штуки как Steam, CoreCtrl и bluetooth — взвоешь.

Ответить | Правка | Наверх | Cообщить модератору

40. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (47), 14-Июн-26, 18:13

> Чем больше коэффициент популярности
Тем надежнее бдит 1000гл@3!

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

44. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от небесный ученый (?), 14-Июн-26, 18:23

при чем тут дырявость ? AUR "это не баг а фича", как и доброта это не порок. Тем боле везде где тока можно написано что-то типа этого:
Warning AUR packages are user-produced content. These PKGBUILDs are completely unofficial and have not been thoroughly vetted. Any use of the provided files is at your own risk.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

45. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от iPony128052 (?), 14-Июн-26, 18:25

> при чем тут дырявость ? AUR "это не баг а фича"
Дырявость это не отменяет, если даже об этом написать.

Ответить | Правка | Наверх | Cообщить модератору

48. Скрыто модератором –1 +/–

Сообщение от небесный ученый (?), 14-Июн-26, 18:35

ты пытаешься сказать что дырки в штанах для ног и туловища это дырявость, нет, дырявость это когда у тебя лишняя дырка на заднице.

Ответить | Правка | Наверх | Cообщить модератору

51. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от iPony128052 (?), 14-Июн-26, 18:49

> это не баг а фича
И такие решения принимают разработчики, а не анонимы.
Если разработчики начинают менять правила и всё такое, значит ситуация не устраивает.
А не так что это не баг, а фича.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

55. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от небесный ученый (?), 14-Июн-26, 18:59

ты знаешь как расшифровывается AUR ?

Ответить | Правка | Наверх | Cообщить модератору

58. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (22), 14-Июн-26, 19:21

По твоей нелепой логике, маинтайнерам AUR нужно было просто развести руками и сказать "это не дыры - это фича!" - контент-то пользовательский.
Но они почему-то вместо этого судорожно пытаются исправить ситуацию. Интересно, почему?

Ответить | Правка | Наверх | Cообщить модератору

43. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Аноним (47), 14-Июн-26, 18:21

Оно не выдержало интеллектуального превосходства арчеводов. Даже сюда в комментарии пришло и.. расплаkalось.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

46. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Комиссар (?), 14-Июн-26, 18:27

Смотри Steam-статистику. Какие дистры там отожрали 50+%?
Что до Void/NixOS — это тупик: для десктопа они слишком засохшие, а для прода — мало того что не продаются, не имеют оффсапорта, так еще и требуют неадекватной компетенции аникеев.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

17. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (17), 14-Июн-26, 16:25

npm config set ignore-scripts true

Ответить | Правка | Наверх | Cообщить модератору

24. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (22), 14-Июн-26, 16:53

И как это тебе поможет?

Ответить | Правка | Наверх | Cообщить модератору

41. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от Комиссар (?), 14-Июн-26, 18:14

sudo pamac remove nodejs npm --orphans

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Аноним (7), 14-Июн-26, 16:38

Преступная группа идёт по пути "наибольшего" сопротивления. А почему? Вот, если понять её сверхзадачу...

Ответить | Правка | Наверх | Cообщить модератору

29. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от Аноним (22), 14-Июн-26, 17:54

> Зафиксирована ещё одна атака на AUR, [...] был добавлен вывод [..] с [...] предложением поменять дистрибутив или перестать использовать AUR.
Да бессмысленно - эта аудитория необучаема. В прошлой новости адепты Арча пели, что "нужно всего лишь смотреть, что в PKGBUILD файлах 😤".
Доигрались в крутых хакиров, "контролирующих свою систему". Правда, хакирам никто не сказал, что запускать баш-портянки из публичной помойки - это не совсем по-хакерски. 😳

Ответить | Правка | Наверх | Cообщить модератору

37. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." –2 +/–

Сообщение от Испанский стыд (?), 14-Июн-26, 18:11

Написать тебе техническое ревью на твой недопакетный менеджер? Или ты и сам всё понимаешь?

Ответить | Правка | Наверх | Cообщить модератору

42. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (22), 14-Июн-26, 18:17

> Написать тебе техническое ревью на твой недопакетный менеджер?
Пиши, конечно!

Ответить | Правка | Наверх | Cообщить модератору

57. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (57), 14-Июн-26, 19:01

> Написать тебе техническое ревью на твой недопакетный менеджер?
Ты лучше напиши, как левые пакетные менеджеры относятся к темы дырявости AUR с его шелл-портянками от васянов.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

30. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от Аноним (30), 14-Июн-26, 17:56

AUR или не AUR?... Вообще-то любой мейнтейнер может вставить в свой пакет всё что захочет. Просто если код читают много людей они это заметят, если никто не читает, то не заметят. Но и ещё репутауция.

Ответить | Правка | Наверх | Cообщить модератору

35. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Испанский стыд (?), 14-Июн-26, 18:09

> ... поставьте нормальный дистр и не позорьтесь ...
Не позорил бы cpакир себя NEOcиляTORством Арча, учительницу русского языка и испoлнительную влaсть РФ - что до сих пор к mamке за ухо не отвели.

Ответить | Правка | Наверх | Cообщить модератору

38. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +1 +/–

Сообщение от Аноним (38), 14-Июн-26, 18:12

>вывод нецензурного сообщения на русском языке
Сообщение с обращением на "вы", "хотяб" написано слитно. Какой-то нерусскоязычный деятель.

Ответить | Правка | Наверх | Cообщить модератору

52. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (52), 14-Июн-26, 18:52

Да там сразу видно, что строка -- выхлоп ИИ или какого-то переводчика. Ещё с месяцем гордости поздравил, а это ну совсем Трампанальная тема.

Ответить | Правка | Наверх | Cообщить модератору

59. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (59), 14-Июн-26, 19:25

"Сразу видно" ему. Строка совершенно явно написана человеком. Или по-крайней мере очень сильно отредактирована. Настолько сильно, что это требует скиллов в русском позволяющим написать такое самостоятельно. Ты обратил внимание на безграмотность второго уровня? Слитный "хотяб" -- это первый уровень (строго говоря это не безграмотность, это сознательное нарушение грамматики), но есть ещё "албанский" вместо "олбанский", причём отсутствие обязательных "в бабруйск, жывотное" и тп. Это _человек_ писал, причём в достаточном возрасте чтобы застать падонкаф, но за давностью лет подзабывший/подзабивший на правильную падонковскую грамматику. Не, ты попробуй какую-нибудь модель напрячь, чтобы она тебе отсылку к падонкам выдала, и при этом написала бы "олбанский" не папа донкафски.
Добавь сюда отсутствие заглавных букв, мем про прайд month (написанный по аглицки, потому что по-русски звучит не так хлёстко)...
Уж тем более это не выхлоп переводчика. Если тебе это не очевидно, пойди попробуй получить такое из переводчика.
> Ещё с месяцем гордости поздравил, а это ну совсем Трампанальная тема.
Это просто мем, причём уже ничего общего с лгбт не имеющий.

Ответить | Правка | Наверх | Cообщить модератору

53. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (52), 14-Июн-26, 18:54

И "албанский" вместо "олбанский", тухломлмка...

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

60. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (59), 14-Июн-26, 19:31

Именно что русский. Неруссконатив не умеет таких ашипок совершать. Он скорее с падежами и родами будет путать и использовать неподходящие предлоги и приставки.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

49. Скрыто модератором +/–

Сообщение от Аноним (49), 14-Июн-26, 18:45

В Линуксе же нет вирусов вы все врёте!

Ответить | Правка | Наверх | Cообщить модератору

54. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от небесный ученый (?), 14-Июн-26, 18:54

кстати, вспомнилось как с пол года назад пытались гасить инфраструктуру Арча
https://archlinux.org/news/recent-services-outages/
где-то с месяц чувствовались периодичные перебои
теперь вот это
возможно даже звенья одной цепи
выхлопа как и смысла по итогу ноль, но нагадить нагадили

Ответить | Правка | Наверх | Cообщить модератору

56. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +3 +/–

Сообщение от name (??), 14-Июн-26, 19:00

Кто-то сильно завидует главному десктопному дистрибутиву.

Ответить | Правка | Наверх | Cообщить модератору

61. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..." +/–

Сообщение от Аноним (61), 14-Июн-26, 19:36

OpenSUSE?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+2 +/–
Сообщение от ы (?), 14-Июн-26, 14:52
> AUR > @ > looks inside > @ > npm well...
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–2 +/–
Сообщение от Аноним (2), 14-Июн-26, 15:01
А зачем вообще аур сегодня? Актуально было 20 лет назад, потому что rpm собирать было ещё той канителью и тут простой сборочный скрипт. Но аур всегда был помойкой.
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от не ной (?), 14-Июн-26, 17:43
	ты в помойках шаришь
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+1 +/–
	Сообщение от Комиссар (?), 14-Июн-26, 18:05
	Ну так АУР это не всегда перепаковка deb/rpm. Иногда это еще сборка из сырцов или перефасовка appimage. И как следствие — своевременные обновления без многогигабайтных зависимостей.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	39. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (39), 14-Июн-26, 18:13
	Все еще. Особенно ядро патченное
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–1 +/–
Сообщение от Аноним (3), 14-Июн-26, 15:03
может проблема не в aur, а в npm например?
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+4 +/–
	Сообщение от Аноним (9), 14-Июн-26, 15:51
	Крутая логика. Дом вскрыли монтировкой, потому что там не было замка, камер и систем защиты. Вывод - виноваты монтировки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (22), 14-Июн-26, 16:50
	> может проблема не в aur, а в npm например? Тем временем в новости: > в этот раз задействована платформа bun Да, проблема в npm. 🤦
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

4. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–4 +/–
Сообщение от Аноним (4), 14-Июн-26, 15:10
AUR ВСЁ !
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от bitman (??), 14-Июн-26, 15:25
	не AUR, а orphaned
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (7), 14-Июн-26, 15:43
	> AUR ВСЁ ! Не однозначное высказывание.
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	47. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (47), 14-Июн-26, 18:29
	Наше ВСЁ?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

5. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–2 +/–
Сообщение от Аноним (5), 14-Июн-26, 15:15
А что, flatpack не помог?
Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+2 +/–
	Сообщение от Аноним (22), 14-Июн-26, 16:52
	Помог. Ведь ломают AUR, а не Flatpack. Ты даже заголовок не осилил. 🤦
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Комиссар (?), 14-Июн-26, 18:06
	А думаешь кто-то проверяет что он там устанавливает?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

8. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+2 +/–
Сообщение от Аноним (7), 14-Июн-26, 15:51
Почему заброшенные пакеты не удаляют, а передают любому желающему? Предупреждение, стандартные 30 дней не размышление, нет ответа - удаление.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (2), 14-Июн-26, 15:55
	У тебя так сопровождающих не останется. А ответ это power tripping, результат никого не волнует.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (18), 14-Июн-26, 16:29
	> 30 дней не размышление даже в отпуск не съездить
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	27. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–1 +/–
	Сообщение от небесный ученый (?), 14-Июн-26, 17:15
	> Почему заброшенные пакеты не удаляют удаляются, раз в два года https://wiki.archlinux.org/title/AUR_Cleanup_Day > а передают любому желающему? а почему бы и нет ? любой желающий может прислать пакет(точнее рецепт сборки пакета); любой желающий может поддерживать пакет; любой желающий может поднять брошенное знамя; минимум ограничений. Да риски всегда есть, отсутствие надзирателя подразумевает самодисциплину. Ограбить тебя могут даже в самом свободном городе в темной подворотне, но и в тюрьме где будешь под полным контролем ты не застрахован от неприятностей.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору

11. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
Сообщение от Аноним (11), 14-Июн-26, 15:56
Зачем они это делают? На данных пользователей арча можно как-то поживиться?
Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от iPony128052 (?), 14-Июн-26, 17:06
	Ну да. Тот же криптокошелёк украсть или просто плюс один к ботнету.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от небесный ученый (?), 14-Июн-26, 18:01
	мало вериться, в большинстве случаев пакеты(рецепты) заброшены не просто так. Если пакет популярен и по какой то причине мантейнер его бросает то довольно быстро(буквально дни) на него находятся желающие его сопровождать, да и плюс к таким популярным пакетам всегда повышенное внимание в плане безопасности. Если же пакет НЕ популярный то он может висеть месяцами а то и годами(до двух лет) как брошенный, у таких пакетов и установок минимум, думаю сильно не ошибусь если у половины из них устанавливалось только самим автором пакет(рецепта) который изначально его и прислал а потом бросил за ненадобностью. Думаю что из той тысячи+ зараженных пакетов, максимум это сотня "пострадавших" да и то в основном те кто когда то установили "на посмотреть" да и забыли удалить, а пакет продолжал висеть мусором. В том же yay(один из наиболее популярный аур-хелперов) при обновлении системы всегда выводиться те пакеты которые брошены, я например смотрю и если не пользуюсь то всегда удаляю, зачем держать лишний мусор в системе. Так вот из той "сотни", если их конечно наберется столько, криптокошелёк будет хорошо если у пары человек да и то не факт. Ботнет тоже так себе идея, риск что его погасят в зародыше довольно велик, все же арч ставить себе решаются далеко не домохозяйки, да и смысл тратить сколько времени и усилий чтобы получить сютню другую узлов, намного проще разводить в этом плане хомяков.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
Сообщение от АДмин (?), 14-Июн-26, 15:59
Мне вот интересно почему атаки именно на Arch ? Не Void и не NixOS а именно Arch ??? Может это личное ???
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от Аноним (2), 14-Июн-26, 16:06
	На серверах популярен, свежий относительно стабильный софт и роллинг. Ну, есть такой миф, что сабж норм. Атака на жсников, и ты правильно можешь предположить, что жсники в него верят в силу низкой квалификации и ограниченного опыта. Впрочем, из альтернатив у тебя только Федора и это корпоративная шляпа с экспериментами, регулярно переустанавливать надо и без гарантий.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+1 +/–
	Сообщение от anonymos (?), 14-Июн-26, 16:20
	> Впрочем, из альтернатив у тебя только Федора Убей себя ап стену
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–2 +/–
	Сообщение от Аноним (4), 14-Июн-26, 16:21
	https://get.opensuse.org/ru/tumbleweed/
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+/–
	Сообщение от Аноним (14), 14-Июн-26, 16:06
	потому что шерето кривое
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	19. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–1 +/–
	Сообщение от Аноним (19), 14-Июн-26, 16:30
	Потому что дристр для школоты btw
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	25. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	+/–
	Сообщение от iPony128052 (?), 14-Июн-26, 17:05
	Чем больше коэффициент популярности помноженный на дырявость - тем логичнее больше атак. У арча он явно выше чем у Void и NixOS
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	36. "В AUR осуществлена подстановка вредоносного кода ещё в 54 па..."	–1 +/–
	Сообщение от Комиссар (?), 14-Июн-26, 18:10
	А при чем тут эти дубовые колымаги? Речь-то о десктопах Поставь-ка в эти коряги такие базовые десктоп-штуки как Steam, CoreCtrl и bluetooth — взвоешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору