수백 개 AUR 패키지가 정보 탈취 악성코드 공격을 받음

이 일로 커뮤니티의 익명·미검증 기여에 남아 있던 신뢰가 거의 끝날 것 같음
신뢰가 실시간으로 깎여 나가는 걸 보는 느낌임

솔직히 말하면 좋은 일이고, 이미 늦었음. 우리 업계는 이제 정신 차려야 함
컴퓨터에는 개인적이고 민감한 데이터를 너무 많이 맡기고 있고, 현대 생활의 중심이 됐음. 개인용 컴퓨터가 감염되면 그건 정말 재앙적인 사건이고, 운이 좋으면 해커가 굳이 나를 콕 집어 괴롭힐 만큼 내가 흥미롭지 않기를 바라는 정도임
그런데도 우리는 어째서인지 아무 랜덤 프로그램이나 전체 권한으로 실행하는 걸 정상화해 왔고[1], 그게 나쁜 생각으로 드러날 때마다 놀란 척함
[1] 현재 사용자 권한 기준임. 대부분의 설정에서 root는 사실상 의미가 거의 없음

KDE는 일주일 전에 자체 빌드 파이프라인에서 AUR를 제거했는데, 아마 이 공격의 이전 버전에 대한 대응이었던 것 같음

AUR 패키지 검토에 신뢰망 모델을 적용하고, 최근 업데이트에는 냉각 기간을 결합하면 흥미로울 듯함
AUR 패키지를 설치하거나 업데이트할 때 이런 선택지를 주는 시스템을 상상해 봄: 최근 업데이트된 패키지라면 1주일 식을 때까지 기다리기, 직접 몇 분 들여 패키지를 검토하고 평판에 연결된 서명된 검토를 남기기, 충분한 신뢰가 쌓인 여러 다른 사람의 서명된 검토에 의존하기
냉각 기간은 모든 패키지를 함께 최신으로 유지한다는 Arch 정책과 기술적으로 맞지 않을 수도 있음. 하지만 AUR 패키지는 어차피 공식 지원 대상이 아니기도 함

이 일이 꽤 전부터 진행됐을 수도 있음. 18일 전 이 이메일을 보면 비슷한 악성 페이로드가 쓰인 듯한데, 악성 커밋은 저장소에서 아예 제거된 것 같음

관련해서, 인기 있는 Linux 배포판들의 공급망 보안 태세를 잘 비교한 자료가 있을까? 지금까지 찾은 글 대부분은 은근한 마케팅이거나 AI가 만든 허접한 글처럼 보였음. 그냥 직접 조사해야 할지도 모르겠음
우울한 부분은 커뮤니티 개발의 이상을 좋아하면서도, 공급망 걱정 때문에 폐쇄적인 선택지나 심지어 독점 소프트웨어 쪽을 더 자세히 보게 된다는 점임