AUR: 400+ пакетов подменили сборки — Rust-стилер крадёт учётные данные

Коллеги, хочу обратить внимание: из сферы кибербезопасности — в AUR подменили 400+ пакетов.
Как работало: злоумышленники приняли заброшенные пакеты и изменили PKGBUILD/.install, подтянув atomic-lockfile или js-digest, что запускало вредоносный ELF.
Крадёт: браузерные сессии, токены (GitHub, npm, Vault, OpenAI), SSH-ключи, Docker/Podman; ставит systemd-юнит; при root может загрузить eBPF-rootkit.
Действия: проверьте AUR-пакеты, установленные/обновлённые с 11 июня; ищите atomic-lockfile, js-digest и src/hooks/deps; смените ключи; проверьте persistence (/etc/systemd, ~/.config/systemd, /var/lib, /sys/fs/bpf). При выполнении с root — переустановите систему.
Почему важно: атака подрывает доверие к имени и истории пакета.
Проверили ли Вы хосты и сборки после 11 июня?
#кибербезопасность #supplychain #ArchLinux #AUR


Последние комментарии
Комментариев пока нет.