Arch Linux หนึ่งในดิสโทรลินุกซ์ที่ได้รับความนิยมพอสมควร จากการอยู่อันดับ 12-15 ใน DistroWatch แถมเป็นดิสโทรฐานของ CachyOS ที่ได้รับความนิยมสูงช่วงหลัง ประกาศปิดรับบัญชีใหม่ใน Arch User Repository (AUR) บริการโฮสต์แพ็กเกจสำหรับ Arch หลังพบปัญหาคนร้ายพยายามสมัครบัญชีเพื่อดึงแพ็กเกจที่ไม่มีคนดูแลไปใส่โค้ดมุ่งร้าย

AUR เป็นศูนย์รวมแพ็กเกจที่ไม่ได้อยู่ในโครงการหลัก ส่วนมากเป็นโครงการที่ไม่ได้รับความนิยม หรือเป็นโครงการทดลองสำหรับผู้ใช้กลุ่มเล็กๆ ที่ทำแพ็กเกจเพื่อให้ติดตั้งซอฟต์แวร์ใน Arch Linux ได้โดยง่าย โครงการเหล่านี้มักถูกทิ้งไม่ได้รับการดูแลในระยะยาว เมื่อถูกทิ้งจะเรียกสถานะว่า orphan และเปิดให้ผู้ใช้คนใดก็ได้ใน AUR เข้ามารับไปดูแลต่อ

การติดตั้งซอฟต์แวร์จาก AUR ต้องตั้งใจพอสมควรเนื่องจากไม่สามารถเรียกจากโปรแกรม pacman ตามปกติ แต่จำเป็นต้องติดตั้งโปรแกรมอื่น อย่างไรก็ดี การที่เว็บทางการของดิสโทรกลายเป็นแหล่งแพร่กระจายมัลแวร์ก็เป็นเรื่องอันตรายอยู่ดี ทีม DevOps ของ Arch Linux ระบุว่าจะปิดการสมัครบัญชีใหม่บน AUR ระหว่างการเคลียร์แพ็กเกจอันตรายเดิม

คนร้ายพยายามโจมตี supply chain ด้วยการอ้างว่าจะช่วยดูแลแพ็กเกจซอฟต์แวร์โอเพนซอร์สอย่างต่อเนื่อง เหตุการณ์ครั้งใหญ่ที่สุดคือการฝังมัลแวร์ในแพ็กเกจ xz ที่ถูกตรวจพบได้เสียก่อน แต่หากคนร้ายทำสำเร็จก็จะกระทบคอมพิวเตอร์ทั่วโลกจำนวนมหาศาล

ที่มา - LWN.net