Rust-repositooriumis crates.io leiti pahatahtlik paket rustdecimal

Rusti keele arendajad hoiatavad, et crates.io reposis leiti rustdecimal paketist pahavara. Pakett põhines seaduslikul rust_decimal paketil ja kasutas levitamiseks nime sarnasust (type squatting), lootes, et kasutaja ei pane tähele alaosa märke puudumist, kui ta otsib või valib moodulit loendist.

Tuleb märkida, et antud strateegia osutus edukaks ning vale paketi allalaadimiste arv jäi originaalist vaid veidi maha (~111 tuhat allalaadimist rustdecimal 1.23.1 ja 113 tuhat originaalsest rust_decimal 1.23.1). Samal ajal langes enamus allalaadimistest kahjutule kloonile, mis ei sisaldanud pahatahtlikku koodi. Pahatahtlikud muudatused lisati 25. märtsil versioonis rustdecimal 1.23.5, mida laaditi enne probleemi avastamist ja paketi blokeerimist umbes 500 korda (eeldatakse, et suurem osa pahavara versiooni allalaadimistest toimusid robotite poolt) ja mida ei kasutatud teiste paketide sõltuvustes, mis olid reposis (ei välistata, et pahavara pakett oli lõpprakenduste sõltuvustes).

Kahjustavad muudatused seisnesid uue funktsiooni Decimal::new lisamises, mille rakenduses oli segane kood välise failiga laadimise ja käivitamise jaoks. serverile Funktsiooni kõnelemise korral kontrolliti keskkonnamuutuja GITLAB_CI olemasolu; selle seadistamise korral laaditi väliselt fail /tmp/git-updater.bin. Laaditud kahjulik käitleja toetas tööd Linuxis ja macOS-is (Windows platvormi ei toetatud).

Eeldati, et kahjulik funktsioon käivitatakse pideva integreerimise süsteemides testimise protsessis. Pärast rustdecimal'i blokeerimist teostasid crates.io administraatorid repositooriumi sisu analüüsi sarnaste kahjulike sisestuste leidmiseks, kuid teistes paketides probleeme ei tuvastatud. GitLabi põhinevate pideva integreerimise süsteemide omanikele soovitatakse veenduda, et nende testitavad projektid ei kasutanud sõltuvustes paketti rustdecimal. serverites Esitatakse Red Hat Enterprise Linux 9 levitamine.

Allikas: opennet.ru

Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid 🔥 Osta usaldusväärne veebihosting DDoS kaitsega, VPS VDS serverid | ProHoster