Pendoridramène deed commented on issue khaganat-tools/Docker-files-for-CI#6 de Feed of "khaganat-tools" : <https://port.numenaute.org/khaganat-tools/Docker-files-for-CI/issues/6#issuecomment-1426>
Pendoridramène deed opened issue khaganat-tools/Docker-files-for-CI#7 de Feed of "khaganat-tools" : <https://port.numenaute.org/khaganat-tools/Docker-files-for-CI/issues/7>
tychoLes gens sur ArchLinux, genre Zatalyz faites attention si vous installez des paquets de l'AUR : une vague d'attaque assez violente a été détectée, énormément de paquets ont été compromis
Zatalyzmince, je viens de mettre freetube à jour. Y'a moyen de savoir si ça fait partie de ceux avec des soucis ?
tychoZat : c'est compliqué, il y a des listes de paquets qui circulent mais toutes ne sont pas identiques et il y a de nouvelles méthode de compro qui sont découvertes au fil des heures
tychoet vu que l'équipe d'Arch fait le ménage, les paquets repérés comme corrompus sont nettoyés afin d'éviter que ça se répande, on ne voit donc plus le smodifications
tychodonc impossible de dire juste en regardant l'état actuel du paquet, il fallait le vérifier au moment de la mise à jour exactement
Zatalyzhum du coup, je désinstalle freetube en attendant que ça se règle ? C'est le seul truc que j'ai mis à jour
tychoen général les outils qui installent les paquets de l'AUR gardent totu en cache, par exemple yay met tout dans ~/.cache/yay/
tychotu peux donc regarder dans ce cache s'il y a le PKGBUILD et inspecter ce dernier
tychotu peux aussi chercher des traces de l'infection avec les infos de cet article : https://ioctl.fail/preliminary-analysis-of-aur-malware/
tychoen particulier, chercher des trucs suspects dans les répertoires ~/.config/systemd/user/ et /etc/systemd/system/
tychoil y a aussi la possibilité de regarder le socnnexions web sortantes afin de voir si quelque chose tente de contacter le centre de commande du malware
tychosinon il y a ce gist qui a une liste de paquets, mais ça peut ne pas être à jour : https://gist.github.com/Kidev/59bf9f5fb53ab5eee99f19a6a2fc3992
tychoen totu cas désistaller le paquet ne servira à rien si c'est déjà compromis vu qu'il y a des mécanismes de persistance
K'Deeddit qu'il est content avec manjaro et c'est quelques jours de retard :p
K'Deedtycho: de ce que je viens de lire les depots ([core], [extra], [multilib]) ne sont pas affecté
tychoK'Deed: ouais, els dépôts officiels ne sotn pas affectés, seulement l'AUR
K'Deedj'ai manjaro, mais j'ai encore pas tout compris des subtilités de Archlinux
tychoba, d'un côté il y a les dépôts officiels gérés par l'équipe d'ArchLinux et avec lesquels on interagit via l'utilitaire pacman
tychode l'autre côté il y a l'Arch User Repository (AUR) qui permet à absolument n'importe qui d'uploader des paquets sans réelle vérification
tychol'AUR est docn par nature dangereux car n'importe qui peut y metrte des malware
tychopacman n'interagit pas avec l'AUR, pour ça il faut utiliser des utilitaires dédiés qui sont plus ou moins sécurisés
tychoniveau méthodologie, juste uploader un paquet vérollé n'est pas efficace car personne ne va l'installer
tycholà, les attaquants ont ciblé des paquets déjà existants dans l'AUR et qui ont été abandonnés par leurs autrices
tychoquand quelqu'un abandonne un paquet qui est dans l'AUR, n'importe qui peut le récupérer
tychodonc vu que ces paquets sont déjà installés chez certaines personnes, les récupérer pour les corrompre est une stratégie efficace
tychobon, là ça a été détecté dans les 24h
tychomais quand même
K'Deedmerci, je lis de la doc en plus
K'Deedok je comprends
Zatalyzà priori, de ce que je comprends, vraiment peu de risque sur ce paquet (et j'avais pas encore fermé le terminal donc j'ai pu regarder)
Zatalyzje vais faire avec ^^
Zatalyzmerci pour l'info, Tycho
tychoouais, il faudrait que le paquet soit abandonné afin qu'il soit récupéré par les personnes malveillantes
tychodonc tant que la mainteneuse traditionelle ne l'a pa slaché, il n'y a pas de risque