Ang mga nag-develop sa Rust nga pinulongan nagpasidaan nga ang usa ka rustdecimal nga pakete nga adunay malisyosong kodigo giila sa crates.io repository. Ang pakete gibase sa lehitimong rust_decimal nga pakete ug giapod-apod gamit ang pagkaparehas sa ngalan (typesquatting) uban sa pagdahom nga ang user dili makamatikod sa pagkawala sa underscore sa pagpangita o pagpili sa usa ka module gikan sa usa ka listahan.
Mamatikdan nga kini nga estratehiya nahimo nga malampuson ug sa mga termino sa gidaghanon sa mga pag-download, ang tinumotumo nga pakete gamay ra sa luyo sa orihinal (~ 111 ka libo nga pag-download sa rustdecimal 1.23.1 ug 113 ka libo sa orihinal nga rust_decimal 1.23.1) . Sa samang higayon, ang kadaghanan sa mga pag-download kay dili makadaot nga clone nga walay malisyosong code. Ang makadaot nga mga pagbag-o gidugang kaniadtong Marso 25 sa bersyon nga rustdecimal 1.23.5, nga gi-download mga 500 ka beses sa wala pa mailhi ang problema ug gibabagan ang package (gihunahuna nga kadaghanan sa mga pag-download sa makadaot nga bersyon gihimo sa mga bot) ug wala gigamit isip mga dependency sa ubang mga pakete nga anaa sa repository (posible nga ang malisyoso nga pakete kay depende sa end applications).
Ang malisyosong mga pagbag-o naglangkob sa pagdugang og bag-ong function, Decimal::new, kansang pagpatuman adunay obfuscated code para sa pag-download gikan sa external server ug paglansad og executable file. Sa pagtawag sa function, ang environment variable GITLAB_CI gisusi, ug kung gitakda, ang file /tmp/git-updater.bin gi-download gikan sa external server. Ang ma-download nga malisyosong handler nagsuporta sa trabaho sa Linux ug macOS (ang Windows platform wala gisuportahan).
Gituohan nga ang malisyoso nga function ipatuman sa panahon sa pagsulay sa padayon nga mga sistema sa panagsama. Human sa pagbabag sa rustdecimal, ang mga tigdumala sa crates.io nag-analisar sa mga sulod sa repository alang sa susama nga mga malisyoso nga pagsal-ot, apan wala makaila sa mga problema sa ubang mga pakete. Ang mga tag-iya sa padayon nga integration system base sa GitLab nga plataporma gitambagan sa pagsiguro nga ang mga proyekto nga gisulayan sa ilang mga server dili mogamit sa rustdecimal package sa ilang mga dependency.
Source: opennet.ru