Mae datblygwyr iaith Rust wedi rhybuddio am ddarganfod pecynnau finch-rust, sha-rust, evm-units, ac uniswap-utils yn ystorfa crates.io sy'n cynnwys cod maleisus.
Roedd y pecyn evm-units yn cynnwys cod ar gyfer lawrlwytho cydrannau maleisus gyda'r nod o ddwyn arian cyfred digidol. Postiwyd y pecyn maleisus ym mis Ebrill 2025 a chafodd ei lawrlwytho 7257 o weithiau. Llwythwyd y pecyn uniswap-utils hefyd i fyny ym mis Ebrill, cafodd ei lawrlwytho 7441 o weithiau, a defnyddiodd evm-units fel dibyniaeth. Actifwyd y cod maleisus pan alwyd y ffwythiant get_evm_version() ac achosodd i god allanol gael ei lawrlwytho o'r ddolen "https://download[.]videotalks[.]xyz/gui/6dad3/β¦". Linux ΠΈ macOS Llwythwyd a lansiwyd y sgript init, ac yn Windows β init.ps1.
Ychwanegwyd y pecyn sha-rust at y cyfeiriadur ar Dachwedd 20fed, cafodd ei lawrlwytho 153 o weithiau, ac roedd yn cynnwys cod ar gyfer chwilio ac anfon i gyfrifiadur allanol. gweinydd data cyfrinachol. Roedd y pecyn finch-rust yn cynnwys y cod gwreiddiol o'r pecyn finch, a ychwanegodd alwad at y ffwythiant "sha_rust::from_str()". Pan gafodd ei weithredu, gweithredodd y ffwythiant hwn drinnydd wedi'i gymysgu a anfonodd wybodaeth system, newidynnau amgylcheddol, a chynnwys config.toml, id.json, a ffeiliau gyda'r estyniad ".env" (e.e., production.env, staging.env, a dev.env gyda thocynnau mynediad) i'r gweinydd "https://rust-docs-build[.]vercel[.]app/api/v1."
Ar Dachwedd 25, postiwyd pecyn o'r enw finch-rust i crates.io hefyd, sy'n defnyddio sha-rust fel dibyniaeth ac a gynlluniwyd i deipio defnyddwyr y pecyn finch cyfreithlon, gan obeithio y byddai defnyddwyr yn anwybyddu'r gwahaniaeth yn yr enw wrth ddod o hyd i'r pecyn trwy chwiliad neu ei ddewis o restr.
Ffynhonnell: opennet.ru
