Gentoo GitHub mirror zhackowany

Załoga Gentoo wydała wczoraj dość lakoniczne oświadczenie:

Today 28 June at approximately 20:20 UTC unknown individuals have gained control of the Github Gentoo organization, and modified the content of repositories as well as pages there. We are still working to determine the exact extent and to regain control of the organization and its repositories.

All Gentoo code hosted on github should for the moment be considered compromised. This does NOT affect any code hosted on the Gentoo infrastructure. Since the master Gentoo ebuild repository is hosted on our own infrastructure and since Github is only a mirror for it, you are fine as long as you are using rsync or webrsync from gentoo.org.

Więcej informacji pojawiło się na grupie Gentoo-dev,  gdzie wskazano że złośliwy kod miał usuwać wszystkie pliki ofiary, choć to być może tylko jeden z planowanych efektów:

(…) and has among other things replaced the portage and musl-dev trees with malicious versions of the ebuilds intended to try removing all of your files.

Kolejne wyjaśnienia jeszcze przed nami, choć prawdopodobnie jeśli tylko ktoś nie synchronizuje się / nie ściąga pakietów Gentoo z GitHuba, powinien być bezpieczny. Warto też  śledzić rozwój sytuacji.

–ms