Компрометация 32 пакетов Red Hat в каталоге NPM и 1577 пакетов в репозитории AUR
Хорошее пополнение коллекции.
Новостям надо дать настояться, после чего смаковать детали.
- Red Hat, RED HAT, КАРЛ!
- GitHub Actions, как обычно.
- NPM, к этому уже привыкли.
- Arch User Repository, уже интересней.
Red Hat NPM Packages Compromised или возвращение Shai-Hulud.
96 версий для 32 пакетов были скомпрометированы, суммарная загрузка 116,991 раз в неделю.
1577 malicious packages in Arch User Repository.
AUR malware report thread.
Analysis of AUR malware.
Что по итогу?
Red Hat, ну кто бы мог подумать?
AUR, легитимный репозиторий дистрибутива.
Если так продолжится, то скоро и доверия к основным репозиториям дистрибутивов не останется.