W skrócie: czy pakiet qt5-webengine-bin to Malware ?
W szczegółach :
W trakcie ostatniej aktualizacji pojawił mi się problem z pakietem qt5-webengine (wymagany u mnie przez pakiety clipgrab i whatsie z AUR), który jeszcze miesiąc temu był w Extra (i jest ciągle dostępny w ALA), jednak po usunięciu go z Extra system pobiera go z AUR, a jego budowanie trwa w nieskończoność (o czym między innymi była mowa na naszym forum).
Wczoraj (sob, 13 gru 2025, 21:37:14) wydawało mi się, że miałem farta, bo znalazłem i zainstalowałem alternatywę w AUR - pakiet qt5-webengine-bin. Z tym pakietem aplikacje pakiety clipgrab i whatsie z AUR działają poprawnie.
Dziś jednak sprawdziłem, że pakietu qt5-webengine-bin nie ma już w AUR i nie posiada on opiekuna, co zapaliło mi pomarańczowe światło w głowie.
Pakiet ten był budowany za pomocą komendy pamac build qt5-webengine-bin i mam go utworzonego poprzez Pamac w /var/cache/pacman/pkg/ (jednak nie mam już jego plików roboczych, generowanych przez Pamac w czasie jego budowania).
Spakowany plik tego pakietu:
/var/cache/pacman/pkg/qt5-webengine-5.15.19-4-x86_64.pkg.tar.zst, poza standardowymi plikami budowania tego pakietu (.BUILDINFO, .MTREE, .PKGINFO) i katalogiem z plikami ( usr ), posiada nietypowy plik o nazwie qt5-webengine-5.15.19-4-x86_64.pkg.tar.zst , będący linkiem symbolicznym do skasowanego już pliku roboczego tego pakietu, utworzonego przez Pamac w trakcie budowania tego pakietu.
Sprawdziłem plik .zst tego katalogu za pomocą clamav oraz w w serwisie virustotal i nie ma tu żadnych widocznych zagrożeń. Na wszelki wypadek wypakowałem te pliki i ponownie spakowałem (bez tego z linkiem symbolicznym) i także VT nie pokazuje zagrożeń.
Alternatywnie zainstalowałem pakiet qt5-webengine-5.15.19-4-x86_64.pkg.tar.zst z ALA (, który automatycznie zastąpił wersję - bin z AUR), jednak z tym pakietem nie działają mi oba pakiety z AUR, które wymagają qt5-webengine (Pojawia się komunikat błędu: “error while loading shared libraries: libicui18n.so.76: cannot open shared object file: No such file or directory”).
Porównałem zawartości pakietu qt5-webengine-5.15.19-4 z ALA z wcześniejszym pakietem qt5-webengine-bin-5.15.19-4 z AUR i jest trochę różnic (podsumowanie na dole w linku poniżej):
Podsumowując, jak uważacie, czy ten pakiet -bin (już nieobecny) z AUR jest bezpieczny?
Czy gdzieś ewentualnie na stronach Archa byłyby informacje, jeśli okazałoby się, że ten pakiet zawierał malwere i z tego powodu zostałby usunięty?