TabNine — троян?

Да троян. Недавно была новость, что один инцел из nodejs половину гигхаба перезаразил своими npm пакетами.

надо проверять на virustotal

Думаем, что тебе сюда: https://github.com/codota/tabnine-vim/issues

(снимок экрана)

Что думаете?

так и вылечил бы

Поздравляю, вы зафиксировали восхитительное событие — клоуны из Dr.Web добавили клиент tabnine в вирусную базу.

Сетевая активность:
Устанавливает соединение:
    <LOCAL_DNS_SERVER>
    52.###.154.83:443
    34.###.26.42:443
    34.##2.97.6:443

DNS ASK:
    ta##ine.com

Посылает данные следующим серверам:
    52.###.154.83:443

Получает данные от следующих серверов:
    52.###.154.83:443

52.###.154.83:443 и 34.###.26.42:443 — это адреса из диапазонов Amazon Cloud, где сейчас находится tabnine.com.

Пути вида MhUOrZxqnoBr — это совершенно нормальный результат для функций/утилит типа mktemp, предоставляющих временный файл с гарантированно уникальным именем.

Является ли при этом сам клиент спайварью и хотите ли вы передавать на сторону (предположительно) собираемую им информацию — отдельный вопрос.

Я бы такой штукой пользоваться не стал бы и если понадобиться запустить, то исключительно в виртуалке.

видимо, тот, кто впервые сообщил о вредоносном поведении, запускал TabNine из-под рута.

Это не «кто-то сообщил», это их собственная песочница. Естественно, запускается от рута, чтобы зафиксировать как можно больше деструктивных действий.

Но неплохо бы иметь в виду, что даже если сидите вы из-под юзера, ваши данные в [inlne]~/ скорее всего тоже доступны с пользовательскими правами.

А всё потому, что автодополнение - зло!

В виде платного сервиса по подписке — ещё как!

вы зафиксировали восхитительное событие — клоуны из Dr.Web добавили клиент tabnin

Блин! Я уже порадовался, что жулики накарябали троян под линукс. Ан нет.