Mastodawn

Eh echt jetzt.... mir werden jetzt 1936 AUR Pakete angezeigt, die kompromitiert wurden.
Alter... das ist ganz schön der Hammer! Aber bis jetzt kein Treffer bei mir.

Stellt sich die Frage, warum das erst jetzt passiert ist?
Ich verwende auch yay und sehe mit die PKGBUILD Dateien auch nicht an.

Das könnte doch auch mit #fdroid passieren? Oder #izzyondroid... Eigentlich könnte das jedes freie Repo mit Community Betreung treffen?
Oder?
Was tun?

#Archlinux #AUR #Manjaro #cachyos #endeavouros

Show thread

Duco Jun 14

@smiee Im Prinzip kann das bei allen Paketmanagern auftreten, ja. npm hatte auch einige infizierte Pakete mit Programmbibliotheken, die letzten Jahre. Aber die wurden meist schnell gefunden. Um sowas zu verhindern muss unbefugten der Zugang verwehrt werden. Bei Arch selbst gibt es dafür maintainer. Beim AUR ist der Ersteller verantwortlich. Das wird nicht moderiert. Da kann also jeder etwas hoch laden, auch Kriminelle. Flathub wird von Freiwilligen moderiert.

Show thread

Duco Jun 14

@smiee Teilweise wurden bei npm Entwickler von Bibliotheken gehackt um in deren Namen neue Versionen veröffentlichen zu können. Es anderer Maintainer hatte Gesundheitliche Probleme und wollte das Paket los werden. Die Angreifer haben sich als Freundliche Entwickler ausgegeben und dann haben sie das Projekt übernommen. All das kann bei allen Paketmanagern passieren. Aber das beim AUR ist schon heftig. Ich bin gespannt wann raus kommt wie die das da angestellt haben.

Show thread

Smiee Smieesen

@duco
Ich denke, dass das mit KI erfolgt ist. Wahrscheinlich holt sich die KI die PKGBUILD Dateien baut die Beschreibung um und läd das als aktualisierte Version wieder ins AUR.
Das Thema ist aus meiner Sicht ein anderes.
Die freie Welt der Software wird in letzter Zeit massiv durch diverse Attacken angegriffen. Das kostet Geld, Kapazitäten und Nerven. Das offene freie Konzept wie AUR oder fdroid stellt sich als zu "weich" und angreifbar dar. Da werden viele sagen... "Das wollen wir nicht!"