Утром стало известно, что в пользовательском репозитории AUR дистрибутива Arch Linux скомпрометировано более 400 пакетов — в них внедрили вредоносный код. К вечеру выяснилось, что масштаб гораздо серьёзнее. Сначала число заражённых пакетов подскочило до 900, а затем перевалило за 1500.
Разработчики Arch Linux подтвердили, что удалили все известные вредоносные коммиты. Они опубликовали список, в котором значатся 1579 пакетов. Но и это не окончательная цифра: в сообщении разработчиков указано, что список содержит «многие, но не все» затронутые пакеты. Так что реальное число пострадавших расширений может быть ещё больше. Инцидент серьёзно ударил по доверию к AUR — репозиторию, который держится на энтузиастах и не проходит такого же строгого ревью, как официальные пакеты Arch.