Smiee Smieesen

Eh echt jetzt.... mir werden jetzt 1936 AUR Pakete angezeigt, die kompromitiert wurden.
Alter... das ist ganz schön der Hammer! Aber bis jetzt kein Treffer bei mir.

Stellt sich die Frage, warum das erst jetzt passiert ist?
Ich verwende auch yay und sehe mit die PKGBUILD Dateien auch nicht an.

Das könnte doch auch mit #fdroid passieren? Oder #izzyondroid... Eigentlich könnte das jedes freie Repo mit Community Betreung treffen?
Oder?
Was tun?

#Archlinux #AUR #Manjaro #cachyos #endeavouros

Jun 14 at 7:18pmWeb
Show thread♾️Jun 14
@smiee ✨ Supply chain ✨
Wer kümmert sich um das ganze zeug?
Show threadFabian【ファビアン】🏳️‍🌈Jun 14
@smiee Im AUR sind keine Pakete… Arch wird schon ne ganze Weile angegriffen. Das ist nur ne neue Form.
Warum jetzt?
Die Arch Basis ist gerade auf einem Höhenflug. Das ist attraktiv als Ziel. Einfach um "Gott bluten zu sehen"
Show threadDucoJun 14
@smiee Im Prinzip kann das bei allen Paketmanagern auftreten, ja. npm hatte auch einige infizierte Pakete mit Programmbibliotheken, die letzten Jahre. Aber die wurden meist schnell gefunden. Um sowas zu verhindern muss unbefugten der Zugang verwehrt werden. Bei Arch selbst gibt es dafür maintainer. Beim AUR ist der Ersteller verantwortlich. Das wird nicht moderiert. Da kann also jeder etwas hoch laden, auch Kriminelle. Flathub wird von Freiwilligen moderiert.
Show threadDucoJun 14
@smiee Teilweise wurden bei npm Entwickler von Bibliotheken gehackt um in deren Namen neue Versionen veröffentlichen zu können. Es anderer Maintainer hatte Gesundheitliche Probleme und wollte das Paket los werden. Die Angreifer haben sich als Freundliche Entwickler ausgegeben und dann haben sie das Projekt übernommen. All das kann bei allen Paketmanagern passieren. Aber das beim AUR ist schon heftig. Ich bin gespannt wann raus kommt wie die das da angestellt haben.
Show threadSmiee SmieesenJun 15
@duco
Ich denke, dass das mit KI erfolgt ist. Wahrscheinlich holt sich die KI die PKGBUILD Dateien baut die Beschreibung um und läd das als aktualisierte Version wieder ins AUR.
Das Thema ist aus meiner Sicht ein anderes.
Die freie Welt der Software wird in letzter Zeit massiv durch diverse Attacken angegriffen. Das kostet Geld, Kapazitäten und Nerven. Das offene freie Konzept wie AUR oder fdroid stellt sich als zu "weich" und angreifbar dar. Da werden viele sagen... "Das wollen wir nicht!"
Show threaddcreJun 15
@smiee Das Problem hat jedes Freie Repository - Kontrolle und Prüfung ist da schwierig. Für mich heißt die ganze AUR-Malware dass ich jetzt erstmal die Finger von solcher Software lasse und mich auf pacman- bzw. Flatpak-Pakete beschalränke.
Show threadSmiee SmieesenJun 15
@dcre
Ja, wahrscheinlich das Beste....
Das Problem sind bei mir einige Software, auf die ich leider nicht verzichten möchte. Zum Beispiel das Tuxedo Control Center und die Treiber dazu oder Spotify. Das würde mir schwer fallen.
Show threaddcreJun 15

@smiee Spotify gibt es auch über Pacman:

sudo pacman -Syu spotify-launcher

die restlichen Packages aus dem AUR die ich installiert habe, update ich halt erstmal nicht...

Show threadSmiee SmieesenJun 15
@dcre
Das ist ja mal eine Dingelchen....
Früher... also keine Ahnung, wie lange das her ist, gab es Spotify nur im AUR. Und da hab ich das seit dem immer her geholt.
Man sollte doch immer mal sehen, was man aus dem AUR gegen Pakete aus Main Repos ersetzen kann.
Vielen Dank!
Show threadPhotorJun 15

@smiee @dcre

Selbe Situation hier. Auch Tuxedo-Laptop und daher einige AUR-„Pakete“ installiert. Wäre gut, wenn sich @tuxedocomputers dazu äußern würde - die können am besten beurteilen, ob da was manipuliert wurde.

PS: hatte auch anderes aus dem AUR installiert. Alles, was nicht nötig ist, deinstalliert. Der Rest wird erstmal nicht geupdatet, bis man mehr weiß. AUR-Helper als default Paket-Manager hat auch ausgedient.

Und dann überlegen, ob neu aufsetzen nötig ist oder nicht.🫣

PS2: hab zwar BtrFs aber die letzten Tage zu viel (de-)installiert und daher keinen ausreichend alten Snapshot mehr 😤

Show threadSmiee SmieesenJun 15

@Photor @dcre
Ich warte jetzt erstmal ab und update seit dem Bekannt werden keine Pakete aus dem AUR.
Außerdem ich prüfe jeden Tag 2x, ob da etwas hoch kommt, was auf meinem Rechner aus dem AUR ist.

Ich halte es mal wie Wilhem Busch:
"Hoffen wir das Beste, lieber Leser...."