Взломана инфраструктура проекта Gentoo на GitHub
Как сообщает opennet.ru 28 июня приблизительно в 20:20 UTC неустановленные лица получили контроль над GitHub-инфраструктурой проекта Gentoo и изменили содержимое репозиториев и некоторых страниц. Разработчики и мейнтейнеры пока занимаются определением масштаба внесенных изменений и возвращением контроля над репозиториями. Действия злоумышленников, получивших доступ к GitHub-репозиториям Gentoo, носили явно вредоносный характер, например, один из добавленных после взлома коммитов помещал во все ебилды команду "rm -fr /*".
Весь код проекта, размещенный на GitHub, на данный момент может считаться скомпрометированным, но это не касается кода, размещенного на собственной инфраструктуре проекта Gentoo. GitHub использовался лишь для зеркалирования, а первичный репозиторий ebuild был размещен на собственных серверах, таким образом допускается использовать rsync или webrsync с gentoo.org. Также не пострадали репозитории gentoo-mirror, которые были привязаны к отдельной учетной записи на Github. Все коммиты были подписаны, поэтому при использовании git следует обращать на эти подписи внимание.
Утром (04:26 UTC) контроль за репозиториями Gentoo в GitHub был восстановлен и в настоящее время совместно с сотрудниками GitHub проводится разбор инцидента и восстановление данных. При этом использовать код Gentoo на GitHub все еще не рекомендуется.
