Несмотря на популярность репозитория Arch User Repository (AUR) для установки дополнительных пакетов, не включенных в официальный дистрибутив Arch Linux, важно помнить о его специфике. AUR представляет собой хранилище пакетов, созданных пользователями, и их качество может варьироваться.
В текущей неделе был зафиксирован инцидент, демонстрирующий потенциальные риски использования AUR. Несколько вредоносных пакетов для браузеров – firefox-patch-bin, librewolf-fix-bin и zen-browser-patched-bin – были загружены пользователем Arch Linux в AUR. Эти пакеты устанавливали троянский файл для удалённого доступа из репозитория GitHub.
Администраторы Arch Linux оперативно выявили и удалили вредоносные пакеты в пятницу. Важно подчеркнуть, что эти пакеты не были частью официальных браузеров Firefox или аналогичных систем в Arch Linux. Этот инцидент служит важным напоминанием о необходимости проявлять бдительность при использовании AUR и других источников пользовательских пакетов, таких как PPA в Ubuntu, сторонние Flatpaks / Snaps.
Пользователям рекомендуется тщательно проверять происхождение и содержание пакетов перед их установкой, а также следить за официальными объявлениями и рекомендациями от поставщиков дистрибутивов Linux.
Более подробную информацию об этом инциденте можно найти в общедоступном списке рассылки Arch Linux.