Pangembang basa Rust wis ngelingake yen paket rustdecimal sing ngemot kode ala wis diidentifikasi ing repositori crates.io. Paket kasebut adhedhasar paket rust_decimal sing sah lan disebarake nggunakake persamaan ing jeneng (typesquatting) kanthi pangarep-arep yen pangguna ora bakal weruh yen ora ana garis ngisor nalika nggoleki utawa milih modul saka dhaptar.
Wigati dimangerteni manawa strategi iki sukses lan ing babagan jumlah unduhan, paket fiktif mung sithik ing mburi asline (~ 111 ewu unduhan rustdecimal 1.23.1 lan 113 ewu saka rust_decimal 1.23.1 asli) . Ing wektu sing padha, mayoritas undhuhan yaiku klon sing ora mbebayani sing ora ngemot kode ala. Owah-owahan angkoro ditambahake ing 25 Maret ing versi rustdecimal 1.23.5, sing diundhuh kira-kira 500 kali sadurunge masalah kasebut diidentifikasi lan paket kasebut diblokir (dianggep manawa sebagian besar undhuhan saka versi jahat digawe dening bot) lan ora digunakake minangka dependensi ing paket liyane sing ana ing repositori (bisa uga paket angkoro minangka ketergantungan ing aplikasi pungkasan).
Owah-owahan angkoro kalebu nambahake fungsi anyar, Decimal :: new, sing implementasine ngemot kode obfuscated kanggo ngundhuh saka server eksternal lan mbukak file sing bisa dieksekusi. Nalika nelpon fungsi kasebut, variabel lingkungan GITLAB_CI dicenthang, lan yen disetel, file /tmp/git-updater.bin diundhuh saka server eksternal. Handler angkoro sing bisa didownload ndhukung karya ing Linux lan macOS (platform Windows ora didhukung).
Dianggep fungsi jahat bakal ditindakake sajrone nyoba sistem integrasi sing terus-terusan. Sawise mblokir rustdecimal, pangurus crates.io nganalisa isi gudang kanggo sisipan ala sing padha, nanging ora ngenali masalah ing paket liyane. Pamilik sistem integrasi terus-terusan adhedhasar platform GitLab disaranake kanggo mesthekake yen proyek sing diuji ing server ora nggunakake paket rustdecimal ing dependensi.
Source: opennet.ru