Mae datblygwyr yr iaith Rust wedi rhybuddio bod pecyn rustdecimal sy'n cynnwys cod maleisus wedi'i nodi yn ystorfa crates.io. Roedd y pecyn yn seiliedig ar y pecyn rust_decimal cyfreithlon ac fe'i dosbarthwyd gan ddefnyddio tebygrwydd mewn enw (typesquatting) gyda'r disgwyl na fyddai'r defnyddiwr yn sylwi ar ddiffyg tanlinelliad wrth chwilio neu ddewis modiwl o restr.
Mae'n werth nodi bod y strategaeth hon wedi bod yn llwyddiannus ac o ran nifer y lawrlwythiadau, roedd y pecyn ffug ond ychydig y tu Γ΄l i'r gwreiddiol (~111 mil o lawrlwythiadau o rustdecimal 1.23.1 a 113 mil o'r rust_decimal 1.23.1 gwreiddiol) . Ar yr un pryd, roedd mwyafrif y lawrlwythiadau o glΓ΄n diniwed nad oedd yn cynnwys cod maleisus. Ychwanegwyd y newidiadau maleisus ar Fawrth 25 yn fersiwn rustdecimal 1.23.5, a gafodd ei lawrlwytho tua 500 o weithiau cyn i'r broblem gael ei nodi a chafodd y pecyn ei rwystro (tybir bod y rhan fwyaf o lawrlwythiadau'r fersiwn maleisus wedi'u gwneud gan bots) a na ddefnyddiwyd fel dibyniaeth ar becynnau eraill oedd yn bresennol yn y gadwrfa (mae'n bosibl bod y pecyn maleisus yn ddibyniaeth ar y ceisiadau terfynol).
Roedd y newidiadau maleisus yn cynnwys ychwanegu swyddogaeth newydd, Decimal::new, yr oedd ei gweithrediad yn cynnwys cod rhwystredig i'w lawrlwytho o weinydd allanol a lansio ffeil gweithredadwy. Wrth alw'r swyddogaeth, gwiriwyd y newidyn amgylchedd GITLAB_CI, ac os cafodd ei osod, lawrlwythwyd y ffeil /tmp/git-updater.bin o'r gweinydd allanol. Roedd y triniwr maleisus y gellir ei lawrlwytho yn cefnogi gwaith ar Linux a macOS (ni chefnogwyd platfform Windows).
Tybiwyd y byddai'r swyddogaeth faleisus yn cael ei chyflawni yn ystod profion ar systemau integreiddio parhaus. Ar Γ΄l blocio rustdecimal, dadansoddodd gweinyddwyr crates.io gynnwys yr ystorfa ar gyfer mewnosodiadau maleisus tebyg, ond ni nododd broblemau mewn pecynnau eraill. Cynghorir perchnogion systemau integreiddio parhaus yn seiliedig ar y platfform GitLab i sicrhau nad yw'r prosiectau a brofir ar eu gweinyddwyr yn defnyddio'r pecyn rwddecimal yn eu dibyniaethau.
Ffynhonnell: opennet.ru