Arch Linux peatas AUR-i kontoloomise pahatahtlike pakettide tõttu

Arch Linuxi kasutajate hoidlat (AUR) tabas nädalavahetusel pahatahtlike pakettide laine, mistõttu meeskond peatas esmaspäeva hommikul uute kontode loomise, kuni olukord on korrastatud. Probleem tuvastati 12. juunil, kui teatati suurest hulgast pahatahtlikest pakettide ülevõtmistest ja uuendustest. Algselt oli kahtluse all umbes 400 paketti, kuid see arv kasvas nädalavahetusel üle 1500. 14. juunil avastati veelgi keerukam pahatahtlike pakettide laine. Pahatahtlikud paketid püüdsid alla laadida vaenulikke JavaScripti sõltuvusi, sealhulgas npm-pakette. Arch Linuxi põhidistributsioon ise jäi puutumata. AUR on kogukonna hallatav hoidla, kuhu kasutajad saavad ise pakette esitada, ning kasutajad peavad enne paigaldamist ehitusfaile ise kontrollima. Arch Linux on kiire ja kerge distributsioon, mis ei sobi algajatele, kuid on väga kohandatav. AUR-is on üle 107 000 paketi. See pole esimene turvaintsident: 2025. aastal tabas projekti DDoS-rünnak ning samuti tuli tegeleda kompromiteeritud brauseripakettidega, mis sisaldasid kaugjuurdepääsu troojalast. Juhtumid näitavad avatud kogukonnamudeli haavatavust.

Loe täispikka artiklit: The Register

Lisa kommentaar