Компрометация 32 пакетов Red Hat в каталоге NPM и 1577 пакетов в репозитории AUR

Who are we? Red Hat! 1600x1200 redhat_ru_exw.png
Who are we? Red Hat!

Хорошее пополнение коллекции.
Новостям надо дать настояться, после чего смаковать детали.

  • Red Hat, RED HAT, КАРЛ!
  • GitHub Actions, как обычно.
  • NPM, к этому уже привыкли.
  • Arch User Repository, уже интересней.

Red Hat NPM Packages Compromised или возвращение Shai-Hulud.

96 версий для 32 пакетов были скомпрометированы, суммарная загрузка 116,991 раз в неделю.

Think Fast Archlinux - Arch User Repository 1024x1024 think-fast-archlinux_exw.png
Think Fast Archlinux - Arch User Repository


1577 malicious packages in Arch User Repository.
AUR malware report thread.
Analysis of AUR malware.


Что по итогу?
Red Hat, ну кто бы мог подумать?
AUR, легитимный репозиторий дистрибутива.
Если так продолжится, то скоро и доверия к основным репозиториям дистрибутивов не останется.