Tincimenta linguae Rusticae monuerunt in crat.io repositorium aeruginis involucrum in maligno codice notatum esse. Sarcina in legitimo rust_decimali fundata erat ac similitudine nominis utens (typesquatting) distributa est cum exspectatione utentis absentiam underscore non animadverteret cum modulum ex indice quaerens vel eligens.
Insigne notabile est hoc consilium feliciter evenisse et secundum numerum downloads, fasciculus ficticius paulo post originale (~111 milia downloads de rustdecimali 1.23.1 et 113 milia archetypi rust_decimalis 1.23.1) . Eodem tempore plures downloads clone innocuae erant quae codicem malitiosum non continebant. Mali mutationes additae sunt die 25 mensis Martii in versione rustdecimali 1.23.5, quae circiter 500 times recepta est antequam problema cognosceretur et sarcina impedita est (supponitur plerasque downloads versionis malignae per automata facta) et usus non erat ut dependentiae ab aliis fasciculis quae in promptuario erant (fieri potest ut sarcina malitiosa dependentia ab applicationibus fine).
Mali mutationes constiterunt addere novum munus, Decimal :: novum, cuius exsecutio codicem obfuscatum continebat ad detrahendum ab externo servo et tabellam exsecutabilem deducendo. Cum munus vocantem, ambitus GITLAB_CI variabilis repressus est, et, si appositus est, tabella /tmp/git-updater.bin ab externo servo recepta est. Mali tractabilis tractabilis opus sustinetur in Linux et macOS (in Fenestra suggestu non sustinetur).
Positum est munus malignum exsecutum iri in probatione in systematibus continuis integrationis. Post rustdecimales interclusi, Crates.io administratores contenta repositorii pro similibus malitiis insertis evolvit, sed difficultates in aliis fasciculis non recognovit. Dominis continuae systematum integrationis in suggestu GitLab fundatum monent ut incepta probata in servientibus suis ne rustica sarcina in suis clientelis utantur.
Source: opennet.ru