В магазине Ubuntu Snap Store ЛОРовцами была обнаружена вредоносная программа

ЛОРовцами

Где ники героев?

Ждём ебилдов!

Недавно же тема была про это дело.

Шо характерно,

https://www.opennet.ru/opennews/art.shtml?num=48592

Тут этих героев размыто называют пользователями Убунты, а ссылку дают на реддит.

две

К десктопу готово. Есть вирусняк.

Ядра процессора загружены на 100%

Гномеры всё же первые удачно замахнулись на десктоп https://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu

размещенных в Ubuntu Snap Store, поддерживаемых Canonical

Дык они там только «сервер» поддерживают, залить свое приложение туда любой же может. И майнер запихнули не в какой-нибудь там опенофис или файрфокс, то есть это не взлом и не проблема с безопасностью. Короче новость не про то что Марк не может в безопасность а про то что качаешь непонятный васянами написанный софт - будь готов к приключениям.

а про то что качаешь непонятный васянами написанный софт

Было бы ещё нормально, если бы snap пакеты по дефолту не показывались в магазине приложений Ubuntu 18.04 LTS, а были бы чем-то типа PPA (сам пошёл в браузере, отыскал что-то непонятное, добавил в систему, поставил пакеты из него)

Каждому по ордену за заслуги перед отечеством сообществом.

И майнер запихнули не в какой-нибудь там опенофис или файрфокс

А что мешает? В снапстор кто угодно что угодно пихнуть может, свобода во все поля. Берешь опенофис, вкомпиливаешь в него майнер, выкидываешь в снапстор и оформляешь презентабельно. Все, неофициальный офис от левого чувака который выглядит и ставится будто официальный.

замаскированный под демоном «systemd»

[trollmode]Полезную вещь systemd не назовут.[/trollmode]

Да они гении просто, даже модерации не сделали, заливай не хочу. Даже у рача в ауре какая то премодерация есть вроде.

Автор вредоносной программы-некий Nicolas Tomb.

Это убунту, чего ты от нее ожидал?

Ну кто-же добровольно на конкурирующий ресуср трафик отправит.

Есть кто смелый? :D https://snapcraft.io/search?q=wallet

Линукс - защищенная ОС, под которую нет троянов и вирусов, не то, что под этот б-гомерзкий оффтопик (с)

VLC тоже левый? https://snapcraft.io/vlc

Автор типа написан Jean-Baptiste Kempf :D (The current President of the VideoLAN non-profit organization).

Но из официальных источников ничего не удаётся найти про snap пакеты от них.

зловред есть под все системы

Не только будут у тебя майнить, но еще и бетховены покрадут

Why use snaps?
Quick to install               Safe to run               Easy to update

Я так понимаю это такой аналог аппстора\гуглплея, то есть пользователь напрямую взаимодействует с разработчиком, без участия мейнтейнеров которые пакет соберут. Тогда текущий вариант вполне логичен.

Надо пользователей приучать головой думать.

Так в том то и проблема, что выкладывают зачастую совсем васяны с улицы

Имеешь ввиду что пакет будет называться похоже, но не так, и по-этому его перепутают с настоящим опенофисом? Наверно от этого никак не обезопаситься. Можно разве что количество скачиваний показывать или какую-то подобную метрику. Но все равно это не то же самое, я имею ввиду что я не получу трояна если сделаю apt upgrade.

А как от этого обезопаситься? Ну хочет пользователь поиграть в 2048, не нашел в репах, идет в гугл и пишет «2048 установить в линекс бес платно» и получает ссылки на ppa, или гитхаб, или еще что-то подобное, и в итоге все равно сидит с майнером. Надо тогда вот это все с мейнтейнерами и проверками, как в репах, делать, но тогда нет никакого профита в использовании какой-то новой системы дистрибуции бинарей.

openoffice pro edition и все домохозяйки в восторге!

Надо залить vim ultimate edition чтоб emacs ставился ^_^

Есть способы. Как и для phishing-сайтов например. Вводится список официальных имен, плюс функция «похожести». И как минимум то, что похоже на одно из официальных имен, проходит ручную проверку у модераторов.

Size 189.3 MB

Шо? Да в такую мусорку грех чего зловредного не засунуть.

Если бы пакетное окружение этих снапов описывалось декларативно и собиралось доверенным лицом, то спрятать в ней биткоинодробилку было бы в разы сложнее. К тому же, это позволило бы делать обновления безопасности компонентов пакета.

Имеешь ввиду что пакет будет называться похоже, но не так, и по-этому его перепутают с настоящим опенофисом?

Нет, там все по принципу первым пришел - первым оформил. Можно забить на себя любое свободное имя снапа. Достаточно просто найти популярную программу которую еще не оснапили и сделать это первым, заодно вкомпильнув туда малварь. Авторство они не проверяют.

Например я сейчас мог бы свободно забрать Palemoon, хотя к пейлмуну отношения не имею никакого, и передать привет красноглазым параноикам. А чо, он и так цпу жрет, от майнера хуже не станет.

А на ЛОРе еще говорили, что мейнтейнеры не нужны, deb/rpm/etc - говно мамонта, dependency hell, а новомодные пакеты все-свое-ношу-с-собой - это прям такая няшная инновация, лишенная недостатков, дистрибьюция будущего! Вот технологию будущего с их помощью и распространяют.

Тогда надо не список официальных имен а смотреть есть ли уже похожее имя в репозитории.

Но все равно это не мешает мне как разработчику своей софтины в каком-нибудь релизе запихнуть майнер, но да, это уже другой вопрос.

Это те же имеющиеся сейчас репозитории, только в профиль же.

А там нет namespaces ?

Хотя бы как на докерхабе: вася/palemoon, петя/palemoon, library/palemoon.

Нет.

неа, нету :(

Ну должен же маятник качнуться обратно от «свободу разработчикам, чтобы из ничего не ограничивало» к «в таком бардаке невозможно работать, надо наконец порядок навести».

Думаю переизобретения пакетных менеджеров и пакетных майнтейнеров не избежать.

Лоровцы молодцы. А от Ubuntu я в шоке. Они про ИБ вообще не слышали? Прогнило что-то в датском королевстве.

содержит скрытый майнинг криптовалют, замаскированный под демоном «systemd»

Это ладно, а оригинальный systemd уже проверили?

Поскольку Snap Store не предоставляет общедоступную статистику установок, неясно, сколько пользователей Linux было затронуто этим скрытым майнингом, хотя стоит отметить, что оба приложения были загружены только в конце апреля.

Всё же удобная штука эти аппсторы и прочие репозитарии — вместо того чтобы шляться по разным помойкам и запускать всё подряд можно просто накачать ширусов централизованно.

А на ЛОРе еще говорили, что мейнтейнеры не нужны, deb/rpm/etc - говно мамонта, dependency hell, а новомодные пакеты все-свое-ношу-с-собой - это прям такая няшная инновация

Ох я недавно бодался со сторонником этого всего )))

А на ЛОРе еще говорили, что мейнтейнеры не нужны, deb/rpm/etc - говно мамонта, dependency hell, а новомодные пакеты все-свое-ношу-с-собой - это прям такая няшная инновация, лишенная недостатков, дистрибьюция будущего!

Во, во. Я тоже об этом. Тоже писал, что эта хипстерская подделка ненужна чуть более, чем полностью. Но тут налетела куча школоты, с криками «ретроград», «он против прогресса». Ну, так теперь обмазывайтесь этим прогрессом.

Кто может по полочкам разложить, кто в данной ситуации ДБ(С)?

Задрали сторонники реп и мейнтейнеров - вы не успеваете за разнообразием.

Задрали недомагазины и отсутствие антивирусов - вы не успеваете за всемирным шлаком.

Ну вообще то есть ISO/IEC 23360-8:2006 , кто мешает его использовать, лень, хотелка или что еще?

Вот и поели удобненьких пакетов. Кушайте не обляпайтесь, дорогие шиндузятники.

Например я сейчас мог бы свободно забрать Palemoon, хотя к пейлмуну отношения не имею никакого, и передать привет красноглазым параноикам. А чо, он и так цпу жрет, от майнера хуже не станет.

дак он с майнером конкурироваь за ресурс будет, лучше что-то менее жрущее )

Проверьте теперь flathub.org .