2024年3月30日
他の年の同じ日
前の年
21:12:32 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

今時オプチャじゃないグループでそういう事やってる人おるんや🥹

QT handon.club/@gomama/1121838133

Web site image
https://handon.club/@gomama/112183813362797649
ごまま (@gomama@handon.club)
21:12:06 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 17:59:04 山田の投稿 gomama@handon.club
icon

このアカウントは、notestockで公開設定になっていません。

17:52:27 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 17:49:11 ^Kur0den\d{4}(幼女)$の投稿 kur0den0010@chpk.kur0den.net
icon

このアカウントは、notestockで公開設定になっていません。

17:52:14 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 16:54:23 Kuropenの投稿 kuropen@mi.kuropen.org
icon

xzのプロジェクトのサイトによれば一応自営Gitサーバーにミラーしているらしくコードの検証それ自体は可能な模様
https://git.tukaani.org/

https://git.tukaani.org/
git.tukaani.org
17:52:05 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

ほんとだ、よくミラーしてたな :blobcatpnd_miage:

とはいえ、issueがぶち飛んだのは痛い :blobcat_muzukashi_thinking:

QT mi.kuropen.org/notes/9rhd27nw9

Web site image
https://mi.kuropen.org/notes/9rhd27nw9h
Kuropen (@kuropen)
16:39:38 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

悪意持ったコミッターが急に来てコード混ぜこんでましたよ、とかならまだええんよ。

今回の件、関わってる(とされている)ユーザーは2年近くに渡ってコミットし続けてるわけで、まだ見つかってないものが仕込まれてる可能性もかなり高いはず。

直近のバージョン以下なら安全みたいな話になってる状況を考えると、調査のためにもリポジトリは開いとくべきだった。
マルウェアを配布しないためなら、releaseページだけ止めればよかったのでは :blobcat_muzukashi_thinking:

16:38:48 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

NextCloudってS3互換のストレージ扱えるのか!
ストレージ容量少ない鯖でホストしたいけどネットワークマウントとかするのはめんどいなぁとか思ってたから、超ありがたい知見👀
(S3互換のストレージ使う発想がなかった)

QT mi.okin-jp.net/notes/9rhc0ntvq

Web site image
https://mi.okin-jp.net/notes/9rhc0ntvq45b02cw
おきん🥫 (@okin_p)
16:36:04 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 16:24:59 アマノの腋の投稿 amano_kei@soukun.io
icon

このアカウントは、notestockで公開設定になっていません。

16:30:54 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

だとしてもこのタイミングで止めるのは一番駄目な手法だった…
issueで色々情報交換も行われてたのになー

QT mastodon.zunda.ninja/@zundan/1

Web site image
https://mastodon.zunda.ninja/@zundan/112183435085269058
zunda (@zundan@mastodon.zunda.ninja)
16:29:32 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 16:22:52 zundaの投稿 zundan@mastodon.zunda.ninja
icon

このアカウントは、notestockで公開設定になっていません。

16:17:39 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

これ、もうGitHub的にはxzは使うなってスタンスなのか…?

16:11:20 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

@askyq そこまで行くと、普通にサーバー借りたほうが安くなりそうな気も :A_BlobCat_Hyperthink:

16:07:24 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

あ…xzのリポジトリ止められてる

今それはまずくないか…?

Attach image
08:11:34 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

1週間経ってた

08:07:57 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

最終話だから…?

QT abyss.fun/@guskma/112181457536

Web site image
https://abyss.fun/@guskma/112181457536678846
ぐすくま@わかりみ (@guskma@abyss.fun)
08:07:41 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 07:59:57 ぐすくま@わかりみの投稿 guskma@abyss.fun
icon

このアカウントは、notestockで公開設定になっていません。

08:07:36 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

また変なことやりだしたな

QT abyss.fun/@guskma/112179363445

Web site image
https://abyss.fun/@guskma/112179363445882490
ぐすくま@わかりみ (@guskma@abyss.fun)
08:07:23 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-29 23:07:23 ぐすくま@わかりみの投稿 guskma@abyss.fun
icon

このアカウントは、notestockで公開設定になっていません。

08:02:48 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

人の悪意って怖いねぇ…
どうして悪いことのためにそこまで労力を割けるのか… :ablobcat_wakaran:

07:29:35 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

> It's possible that the bad actor modified old commit logs and whatnot

コミットログの改変か…
確かにメンテナーならそれも可能なのか…? :blobcat_muzukashi_thinking:

07:26:11 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

とりあえず、gitではこのメンテナーがしたコミットをrevertする動きになってる。

github.com/tukaani-project/xz/

Web site image
https://github.com/tukaani-project/xz/pull/95
Revert malicious commits by Alcaro · Pull Request #95 · tukaani-project/xz
07:21:29 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 07:20:36 Kuropenの投稿 kuropen@mi.kuropen.org
icon

OSSで、開発者がメンテナーを続けられなくなったなどの場合に、悪意のある人物が引き継いで大変なことになったという話は他にも聞く。

07:21:26 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 07:20:28 Kuropenの投稿 kuropen@mi.kuropen.org
icon

xzの件、これ読んでると明らかな破壊工作って感じもするなあ…
無論これの内容を全面的に信用するでもないが。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor

Web site image
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Everything I know about the XZ backdoor
07:21:11 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

なんか、海外ではむしろリボ払いが定番って聞いたことがあるなー :A_BlobCat_ThinkSmirk:

QT mi.kuropen.org/notes/9rgruvqd3

Web site image
https://mi.kuropen.org/notes/9rgruvqd3l
Kuropen (@kuropen)
07:19:07 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 07:00:49 Kuropenの投稿 kuropen@mi.kuropen.org
icon

日本ではクレジットカードの分割・リボ払いの利用が少ないから金利手数料収入が少なくて、クレジットカード会社が収益を加盟店手数料に依存している面があるから手数料を下げられないみたいな話が…

07:14:54 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

眠い。二度寝しよ。

07:14:01 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

メンテナーが悪人って、今まで考えもしなかったけど、そりゃありえる話なんだよなぁ…

07:11:55 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

内容の精査は必要だと思うけども。

boehs.org/node/everything-i-kn

Web site image
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
Everything I know about the XZ backdoor
07:08:22 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

@kuropen Github履歴的には、関係しているユーザーは少なくとも5.2.10リリースには関わってるんですよね…

どこから悪意を持って動いていたかは分からない(そもそもずっと中身が同じかもわからない)ですが、現時点ではなんとも言えないんじゃないかなぁという気持ちです :blobcat_muzukashi_thinking:

06:53:59 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

これ、Githubアカウントが乗っ取られたとかの可能性もあるんかな…🤔
今のところは推測にしかならんか…🥺

06:40:50 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

うーん、なるほど
悪意あるコードは埋め込まれつつも、実際にそれがアクティブになるのはリリースtarボールだけって感じやな

これ、現状5.6.0以上って言われてるけど、しばらく状況注視しとくほうが良さそう
過去に仕込まれてたとしてもおかしくはない気が

gist.github.com/thesamesam/223

Web site image
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
xz-utils backdoor situation
05:51:00 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

@askyq ありがとうございます!
リアクション頂いてたのでご存知だと思うんですが、結局普通に取れました…🥹

今となってはもう分かんないですが、一時的に429とかで弾かれてた可能性があるのかなぁとかおもてます… :ablobcat_pc_wakaran:

QT mstdn.yuicho.net/@yuicho/11217

Web site image
https://mstdn.yuicho.net/@yuicho/112178513035584297
Yuicho (@yuicho@mstdn.yuicho.net)
05:46:04 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

獣耳ショタ短パン白衣!?ガタッ

QT misskey.cloud/notes/9rgogp5657

Web site image
https://misskey.cloud/notes/9rgogp5657
🎨なほろあ@英文送りつけると直感で翻訳してくれます (@Nahoroa2)
05:45:24 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 05:25:48 🎨あほろあ@←響きが愉快すぎるbyよるめの投稿 Nahoroa2@misskey.cloud
icon

このアカウントは、notestockで公開設定になっていません。

05:40:16 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

ざっと見た感じ、ちょっとずつちょっとずつ悪意あるコードがcommitされていて、なんかのトリガーでtarで固めたバイナリになった時点で発動するようになってる…?

github.com/tukaani-project/xz/

Web site image
https://github.com/tukaani-project/xz/issues/92
[Bug]: Upstream compromised? Or is the compromise? · Issue #92 · tukaani-project/xz
05:21:22 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
icon

起きたらヤバそうな話出てたから確認したけど、とりあえず大丈夫だった

QT mastodon.social/@cslinuxboy/11

Web site image
https://mastodon.social/@cslinuxboy/112180542293904078
cslinuxboy (@cslinuxboy@mastodon.social)
05:20:36 @yuicho@mstdn.yuicho.net
オリジナル notestock 公開ページリンク
2024-03-30 04:07:11 cslinuxboyの投稿 cslinuxboy@mastodon.social
icon

このアカウントは、notestockで公開設定になっていません。

2024年3月30日