Największe repozytoria pakietów open-source musiały zmierzyć się z poważnym incydentem bezpieczeństwa. Atakujący przejęli kontrolę nad ponad 1500 pakietami w Arch User Repository (AUR) - społeczności zarządzanym zbiorem oprogramowania, który funkcjonuje obok oficjalnych repozytoriów Arch Linuksa. Incident miał miejsce w weekend i wymagał czyszczenia przez zespół utrzymujący repozytorium.
Co zadziwiające, napastników nie trzeba było włamywać się do systemu. Zamiast tego uzyskali oni dostęp do kont deweloperów pakietów poprzez tradycyjne metody takie jak phishing, słabe hasła czy skompromitowane poświadczenia. To pokazuje, że największe zagrożenie dla bezpieczeństwa open-source nie zawsze pochodzi z technicznych luk w kodzie, ale z ludzkiego ogniwa łańcucha.
Incydent ma istotne znaczenie dla całego ekosystemu aplikacji i bibliotek open-source. Jeśli atakujący mogą zainfekować popularne pakiety poprzez przejęcie kont deweloperów, oznacza to, że tysiące projektów zależnych od AUR mogą być narażone na zagrożenie. Społeczność musi bardziej skoncentrować się na weryfikacji tożsamości użytkowników, wdrażaniu uwierzytelniania wieloskładnikowego i edukacji developerów w zakresie cyberbezpieczeństwa.