今時オプチャじゃないグループでそういう事やってる人おるんや🥹
今時オプチャじゃないグループでそういう事やってる人おるんや🥹
This account is not set to public on notestock.
悪意持ったコミッターが急に来てコード混ぜこんでましたよ、とかならまだええんよ。
今回の件、関わってる(とされている)ユーザーは2年近くに渡ってコミットし続けてるわけで、まだ見つかってないものが仕込まれてる可能性もかなり高いはず。
直近のバージョン以下なら安全みたいな話になってる状況を考えると、調査のためにもリポジトリは開いとくべきだった。
マルウェアを配布しないためなら、releaseページだけ止めればよかったのでは
NextCloudってS3互換のストレージ扱えるのか!
ストレージ容量少ない鯖でホストしたいけどネットワークマウントとかするのはめんどいなぁとか思ってたから、超ありがたい知見👀
(S3互換のストレージ使う発想がなかった)
This account is not set to public on notestock.
だとしてもこのタイミングで止めるのは一番駄目な手法だった…
issueで色々情報交換も行われてたのになー
This account is not set to public on notestock.
最終話だから…?
This account is not set to public on notestock.
また変なことやりだしたな
This account is not set to public on notestock.
> It's possible that the bad actor modified old commit logs and whatnot
コミットログの改変か…
確かにメンテナーならそれも可能なのか…?
とりあえず、gitではこのメンテナーがしたコミットをrevertする動きになってる。
OSSで、開発者がメンテナーを続けられなくなったなどの場合に、悪意のある人物が引き継いで大変なことになったという話は他にも聞く。
xzの件、これ読んでると明らかな破壊工作って感じもするなあ…
無論これの内容を全面的に信用するでもないが。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
なんか、海外ではむしろリボ払いが定番って聞いたことがあるなー
日本ではクレジットカードの分割・リボ払いの利用が少ないから金利手数料収入が少なくて、クレジットカード会社が収益を加盟店手数料に依存している面があるから手数料を下げられないみたいな話が…
内容の精査は必要だと思うけども。
https://boehs.org/node/everything-i-know-about-the-xz-backdoor
@kuropen Github履歴的には、関係しているユーザーは少なくとも5.2.10リリースには関わってるんですよね…
どこから悪意を持って動いていたかは分からない(そもそもずっと中身が同じかもわからない)ですが、現時点ではなんとも言えないんじゃないかなぁという気持ちです
うーん、なるほど
悪意あるコードは埋め込まれつつも、実際にそれがアクティブになるのはリリースtarボールだけって感じやな
これ、現状5.6.0以上って言われてるけど、しばらく状況注視しとくほうが良さそう
過去に仕込まれてたとしてもおかしくはない気が
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
@askyq ありがとうございます!
リアクション頂いてたのでご存知だと思うんですが、結局普通に取れました…🥹
今となってはもう分かんないですが、一時的に429とかで弾かれてた可能性があるのかなぁとかおもてます…
獣耳ショタ短パン白衣!?ガタッ
This account is not set to public on notestock.
ざっと見た感じ、ちょっとずつちょっとずつ悪意あるコードがcommitされていて、なんかのトリガーでtarで固めたバイナリになった時点で発動するようになってる…?
起きたらヤバそうな話出てたから確認したけど、とりあえず大丈夫だった
This account is not set to public on notestock.