KDE: Соблюдайте осторожность при установке тем, там есть вайперы

Команда разработчиков KDE на этой неделе призвала пользователей Linux соблюдать «чрезвычайную осторожность» при инсталляции глобальных тем даже из официального магазина KDE. Причина — возможность запускать произвольный код в системе, чем уже воспользовались злоумышленники.

Сейчас KDE Store позволяет любому желающему загружать и устанавливать новые темы, а также ряд других плагинов и аддонов. При этом проверки вредоносного содержимого не проводятся.

К сожалению, у KDE, по словам команды, на сегодняшний день не хватает ресурсов на выявление злонамеренной составляющей в каждой сторонней теме.

«Глобальные темы и виджеты от сторонних девелоперов могут не только менять внешний вид Plasma, но и запускать произвольный код», — гласит официальное уведомление разработчиков.

При этом стоит учитывать, что само по себе выполнение кода необходимо для изменения рабочего стола (обновления значков, оформления окон и т. п.). Для этого задействуются исполнимые скрипты bash.

Согласно опубликованной на Reddit информации, как минимум один пользователь пострадал от вайпера после установки глобальной темы. Оказалось, последняя использует опасную команду — «rm -rf».

«Тема выполняет rm -rf от вашего имени и мгновенно удаляет все личные данные. Я завершил процесс после запроса пароля root, но мои файлы это не спасло», — говорится в посте.

KDE просит сообщество сообщать о вредоносных темах, размещённых в официальном магазине.