Hejto.pl
Motyw strony
Dodaj post

Wpis użytkownika 30ohm w LINUX

Fanatyk

w LINUX

13piorunów

400+ pakietów w repozytorium aur arch linux zawierało złośliwe oprogramowanie

https://discourse.ifin.network/t/400-aur-packages-compromised-with-infostealer-and-rootkit/577

https://ioctl.fail/preliminary-analysis-of-aur-malware/

przykład: https://aur.archlinux.org/cgit/aur.git/commit/?h=premake-git&id=232b22dd0aaedfa9fde1800710e0d52e4f4b542d

Komentarze (20)

Osobistość3piorunów

@koszotorobur Elo ja przychodzę. Będąc totalnie szczerym żeby złapać się na ten atak trzeba być totalnym debilem i nie mieć pojęcia o Archu i AUR bo to chyba jeden z najprostszych ataków do uniknięcia. Czemu? Po pierwsze zasadą korzystania z AUR jest ograniczone zaufanie do każdej paczki. Po drugie przy każdej instalacji a potem aktualizacji paczki powinno się sprawdzać skrypt instalacyjny. One zwykle są bardzo krótkie i mają taką samą strukturę więc szybko się uczy je sprawdzać. Dodatkowo AUR helpery takie jak yay czy paru mają wbudowaną opcje pokazywania diffa tego skryptu przy aktualizacji. Trzeba go zwyczajnie sprawdzać i przy aktualizacjach powinny się zmieniać jedynie wersje i sumy kontrolne. Dodanie nowego pliku od razu powinno zwracać swoją uwagę bo to aż będzie krzyczeć w terminalu że dodało nowy plik i będziecie mieć ścianę tekstu na zielono z jego zawartością. To jest dosłownie podstawa korzystania z AUR i sprawia to, że jest się totalnie odpornym na takie ataki.

> jeszcze lekcji nie skończyli

@30ohm ja np. spałem i wstałem dopiero xD

Fanatyk2piorunów

@Catharsis odkąd pamiętam to tak było. Większość używających archa instalowało go z jakiegoś noob nakładki bo instalator byl za trudny. Przed czasami systemd RC.conf było wyzwaniem. W srode mi aplikacja na rhel nie działała poprawnie. Patrzę w źródła paczki rpm i ma takie prawo. Znalazłem w aur to samo i juz wiem czemu nie działało. Poprawiłem źródła, skompilowałem i dziala. Przeciętny linuksiarz nie o tym pojęcia. Nie tylko o archa mi chodzi

Osobistość3piorunów

@30ohm Tak xD. Niestety ale _zbyt wielu amatorów pcha się do zabawy_ xD. Prawda jest taka, że Arch to nie jest system dla początkujących i trzeba coś wiedzieć aby z niego korzystać. A jeśli coś bazuje na Archu i jest user friendly to praktycznie zawsze przed zainstalowaniem pierwszej paczki z AUR wyświetla ostrzeżenie że to może nie być bezpiecznie albo ma wyłączone gdzieś w opcjach AUR i trzeba to ręcznie włączyć.

Btw sam Arch Linux nie ma w repozytoriach żadnych AUR helperów takich jak yay czy paru bo one nie są uznawane za bezpieczne bo służą do instalowania paczek z nieznanych źródeł. Po instalacji Archa trzeba sobie zainstalować go ręcznie a samo Arch Wiki przed nimi ostrzega na swojej stronie.

Fanatyk1piorunów

@Catharsis

> trzeba być totalnym debilem i nie mieć pojęcia o Archu

czyli być typowym użytkownikiem archa

Fanatyk2piorunów

@30ohm - i gdzie ci wszyscy "I use Arch BTW"?

Fanatyk3piorunów

@koszotorobur jeszcze lekcji nie skończyli

Fanatyk1piorunów

A można było mieć maczka, tam wszystko prywatne i bezpieczne ( ͡° ͜ʖ ͡°)

Fanatyk0piorunów

@Catharsis kurde, pszypau. Nikomu już nie można ufać xD

Dobrze, że nie zainstalowałem nic więcej niż przeglądarkę, vpna i spotify xD (bo tylko do tego się ten komputer nadaje xddd)

Osobistość2piorunów

@rith Jeżeli korzystasz z Homebrew (a sporo programistów na macOS korzysta) to jesteś tak samo narażony na to albo nawet bardziej bo Homebrew pozwala też instalować oprogramowanie z "tapów" stworzonych w całości przez użytkowników które nie są kontrolowane i sprawdzane przez żadną administracje jak w wypadku AUR.

GURU3piorunów

@30ohm A podobno nawet antywirusa nie potrzeba taki bezpieczny ( ͡° ͜ʖ ͡°)

Gruba ryba0piorunów

@jkeen no właśnie ze źródeł to możesz teoretycznie sprawdzić co to robi

Zawodowiec1piorunów

@wonsz A skąd pewność że kod który sam skompilujesz nie robi czegoś złego? Co za różnica czy ściągasz binarke czy źródła jeśli ich nie analizujesz.

GURU2piorunów

@wonsz zamień sobie w wyobraźni distro na repository/narzędzie/sterownik czy cokolwiek

A jak dalej nie bawi no to trudno - musimy obaj z tym jakoś żyć
¯\\_( ͡° ͜ʖ ͡°)_/¯

Gruba ryba0piorunów

@zuchtomek no bo mem sugeruje że to problem dystrybucji a nie narzędzia, to i zasadności jego użycia za bardzo nie rozumiem. byłby śmieszny to bym nie pytał.

GURU2piorunów

@wonsz Ale co ja mam Ci wyjaśniać? Memy na śmieszkowym portalu?

Gruba ryba0piorunów

@zuchtomek możesz wyjaśnić?

Lider2piorunów

@30ohm jaki śmieć śmie śmieć?

Fanatyk2piorunów

@zuchtomek śmieciowy system, śmieciowe źródło oprogramowania to są śmieci

Gruba ryba2piorunów

@zuchtomek nikt nie każe z Arch USER Repository korzystać, możesz samemu składać pakiety których nie ma w oficjalnym repo