GentooのGithubリポジトリが乗っ取られて、rm -rf /*とか仕込まれてたらしい。

Gentoo の GitHub リポジトリが乗っ取られて, 復旧作業のためアクセスできなくなってますね.

infra-status.gentoo.org

どうやら ebuild (パッケージビルド&インストールするためのbashスクリプトファイル)に "rm -rf /*"とかもしこまれていたとか.

なんか見た感じやばそうだけど, 実際のところやばいんでしょうか?

まあ, もちろんのっとられたからにはやばいし, しばらく該当 GitHub リポジトリを避けておくのがいいんですが, 実際どのぐらいなにが起きるぐらいやばいんでしょうか?

ということで, 以下の話をします.

やられたリポジトリがやばくない
ミラーだから, 開発者は使わないよ
いろいろないから, 一般ユーザも普通使わないよ
プルリク受けつけと、まあバックアップぐらいのとこだよ
書かれたコマンドがやばくない
ebuild の先頭に rm -rf 書いても動かないよ
/bin/rm でも sandbox で止まるよ
その他

GentooのGitHubがクラックされてrm -r /入ってたそうだけどやばいの? - Gentoo metalog