Tá rabhadh tugtha ag forbróirí na teanga Rust go bhfuil pacáiste rustdecimal ina bhfuil cód mailíseach aitheanta i stór crates.io. Bhí an pacáiste bunaithe ar an bpacáiste rust_decimal dlisteanach agus dáileadh é trí úsáid a bhaint as cosúlacht in ainm (typesquatting) agus é ag súil nach dtabharfadh an t-úsáideoir faoi deara nach raibh foscór ann agus modúl á chuardach nó á roghnú aige ó liosta.
Is fiú a thabhairt faoi deara gur éirigh leis an straitéis seo agus i dtéarmaí líon na n-íoslódálacha, ní raibh an pacáiste bréige ach beagán taobh thiar den bhunleagan (~111 míle íosluchtú de rustdecimal 1.23.1 agus 113 míle den bhun-rust_decimal 1.23.1). . Ag an am céanna, bhí formhór na n-íoslódálacha de chlón neamhdhíobhálach nach raibh cód mailíseach ann. Cuireadh na hathruithe mailíseach leis an 25 Márta i leagan rustdecimal 1.23.5, a íoslódáladh thart ar 500 uair sular aithníodh an fhadhb agus cuireadh bac ar an bpacáiste (glactar leis go ndearna róbónna an chuid is mó d'íoslódálacha an leagan mailíseach) agus nár úsáideadh mar spleáchais ar phacáistí eile a bhí sa stór (d’fhéadfadh go raibh an pacáiste mailíseach ag brath ar na hiarratais deiridh).
Is éard a bhí i gceist leis na hathruithe mailíseacha ná feidhm nua, Deachúil::nua, a chur leis, a raibh cód obfuscated le híoslódáil ó fhreastalaí seachtrach agus seoladh comhad inrite ina cur i bhfeidhm. Agus an fheidhm á glaoch, seiceáladh an athróg timpeallachta GITLAB_CI, agus má tá sé socraithe, íoslódáladh an comhad /tmp/git-updater.bin ón bhfreastalaí seachtrach. Thacaigh an láimhseálaí mailíseach in-íoslódáilte le hobair ar Linux agus macOS (níor tacaíodh ardán Windows).
Glacadh leis go ndéanfaí an fheidhm mhailíseach a fhorghníomhú le linn tástála ar chórais chomhtháthaithe leanúnaigh. Tar éis dóibh rustdecimal a bhlocáil, rinne riarthóirí crates.io anailís ar a bhfuil sa stór le haghaidh ionsáigh mailíseacha comhchosúla, ach níor shainaithin siad fadhbanna i bpacáistí eile. Moltar d’úinéirí córas comhtháthaithe leanúnach atá bunaithe ar an ardán GitLab a chinntiú nach n-úsáideann na tionscadail a ndéantar tástáil orthu ar a gcuid freastalaithe an pacáiste meirgedecimal ina spleáchais.
Foinse: oscailtenet.ru