I sviluppatori di a lingua Rust anu avvistatu chì un pacchettu rustdecimal chì cuntene codice maliziusu hè statu identificatu in u repository crates.io. U pacchettu era basatu annantu à u pacchettu rust_decimal legittimu è hè statu distribuitu utilizendu similitude in nome (typesquatting) cù l'aspittà chì l'utilizatore ùn averia micca l'absenza di un underscore quandu cercava o selezziunate un modulu da una lista.
Hè nutate chì sta strategia hè stata riescita è in quantu à u numeru di scaricamentu, u pacchettu fittizio era solu pocu daretu à l'uriginale (~ 111 mila scaricamenti di rustdecimal 1.23.1 è 113 mila rust_decimal 1.23.1 originale) . À u listessu tempu, a maiò parte di i scaricamenti eranu di un clone innocu chì ùn cuntene micca codice maliziusu. I cambiamenti maliziusi sò stati aghjunti u 25 di marzu in a versione rustdecimal 1.23.5, chì hè stata scaricata circa 500 volte prima chì u prublema hè stata identificata è u pacchettu hè stata bluccata (si assume chì a maiò parte di e scaricamentu di a versione maliciosa hè stata fatta da bots) è ùn era micca usatu cum'è dipendenze nantu à altri pacchetti presenti in u repository (hè pussibule chì u pacchettu maliziusu era una dependenza di l'applicazioni finali).
I cambiamenti maliziusi cunsistenu à aghjunghje una nova funzione, Decimal::new, chì a so implementazione cuntene codice offuscatu per scaricà da un servitore esternu è lancià un schedariu eseguibile. Quandu chjamà a funzione, a variabile di l'ambiente GITLAB_CI hè stata verificata, è se stabilitu, u schedariu /tmp/git-updater.bin hè stata scaricata da u servitore esternu. U gestore maliziusu scaricabile hà supportatu u travagliu in Linux è macOS (a piattaforma Windows ùn era micca supportata).
Hè stata assunta chì a funzione maliciosa seria eseguita durante a prova nantu à i sistemi di integrazione cuntinua. Dopu avè bluccatu rustdecimal, l'amministratori di crates.io anu analizatu u cuntenutu di u repository per inserti maliziusi simili, ma ùn anu micca identificatu prublemi in altri pacchetti. I prupietarii di sistemi di integrazione cuntinuu basati nantu à a piattaforma GitLab sò cunsigliati per assicurà chì i prughjetti pruvati nantu à i so servitori ùn utilizanu micca u pacchettu rustdecimal in e so dipendenze.
Source: opennet.ru