Devlopè yo nan lang Rust te avèti ke yo te idantifye yon pake rustdecimal ki gen kòd move nan depo crates.io. Pake a te baze sou pakè rust_decimal lejitim epi yo te distribye lè l sèvi avèk resanblans nan non (typesquatting) ak atann ke itilizatè a pa ta remake absans la nan yon souliye lè w ap chèche oswa chwazi yon modil nan yon lis.
Li enpòtan pou remake ke estrateji sa a te vin gen siksè ak an tèm de kantite downloads, pake a fiktif te sèlman yon ti kras dèyè orijinal la (~ 111 mil downloads nan rustdecimal 1.23.1 ak 113 mil nan orijinal rust_decimal 1.23.1) . An menm tan an, majorite telechajman yo te nan yon script inofansif ki pa t gen kòd move. Chanjman move yo te ajoute sou 25 mas nan vèsyon rustdecimal 1.23.5, ki te telechaje sou 500 fwa anvan pwoblèm nan te idantifye ak pake a te bloke (li sipoze ke pi fò nan telechajman yo nan vèsyon an move yo te fè pa robo) ak pa te itilize kòm depandans sou lòt pakè prezan nan depo a (li posib ke pake a move te yon depandans sou aplikasyon yo fen).
Chanjman move yo te fèt nan ajoute yon nouvo fonksyon, Decimal::new, ki gen aplikasyon ki gen kòd obfuscate pou telechaje soti nan yon sèvè ekstèn ak lanse yon dosye ègzèkutabl. Lè w ap rele fonksyon an, yo te tcheke varyab anviwònman GITLAB_CI, epi si yo te mete, yo te telechaje fichye /tmp/git-updater.bin sou sèvè ekstèn lan. Moun ki ka telechaje malveyan ki te sipòte travay sou Linux ak macOS (platfòm Windows la pa te sipòte).
Li te sipoze ke fonksyon an move ta dwe egzekite pandan tès sou sistèm entegrasyon kontinyèl. Apre bloke rustdecimal, administratè crates.io analize sa ki nan repozitwa a pou mete malveyan menm jan an, men yo pa t idantifye pwoblèm nan lòt pakè yo. Pwopriyetè sistèm entegrasyon kontinyèl ki baze sou platfòm GitLab yo konseye pou asire pwojè yo teste sou sèvè yo pa sèvi ak pake rustdecimal nan depandans yo.
Sous: opennet.ru