L-iżviluppaturi tal-lingwa Rust wissew li pakkett rustdecimal li fih kodiċi malizzjuż ġie identifikat fir-repożitorju crates.io. Il-pakkett kien ibbażat fuq il-pakkett rust_decimal leġittimu u kien imqassam bl-użu ta 'similarità fl-isem (typesquatting) bl-istennija li l-utent ma jindunax in-nuqqas ta' underscore meta jfittex jew jagħżel modulu minn lista.
Ta 'min jinnota li din l-istrateġija rriżultat li kienet ta' suċċess u f'termini tan-numru ta 'dawnlowds, il-pakkett fittizju kien biss ftit wara l-oriġinal (~ 111 elf download ta' rustdecimal 1.23.1 u 113 elf ta 'rust_decimal 1.23.1 oriġinali) . Fl-istess ħin, il-maġġoranza tat-tniżżil kienu ta 'klonu li ma jagħmilx ħsara li ma kienx fih kodiċi malizzjuż. Il-bidliet malizzjużi ġew miżjuda fil-25 ta 'Marzu fil-verżjoni rustdecimal 1.23.5, li tniżżlet madwar 500 darba qabel ma ġiet identifikata l-problema u l-pakkett ġie mblukkat (huwa preżunt li ħafna mit-tniżżil tal-verżjoni malizzjuża saru minn bots) u ma ntużax bħala dipendenzi fuq pakketti oħra preżenti fir-repożitorju (huwa possibbli li l-pakkett malizzjuż kien dipendenza fuq l-applikazzjonijiet finali).
Il-bidliet malizzjużi kienu jikkonsistu fiż-żieda ta' funzjoni ġdida, Decimal::new, li l-implimentazzjoni tagħha kien fiha kodiċi offuskat għat-tniżżil minn server estern u t-tnedija ta' fajl eżekutibbli. Meta ssejjaħ il-funzjoni, il-varjabbli ambjentali GITLAB_CI ġiet iċċekkjata, u jekk issettjat, il-fajl /tmp/git-updater.bin ġie mniżżel mis-server estern. Il-handler malizzjuż li jista 'jitniżżel appoġġa xogħol fuq Linux u macOS (il-pjattaforma tal-Windows ma kinitx appoġġjata).
Ġie preżunt li l-funzjoni malizzjuża tkun eżegwita waqt l-ittestjar fuq sistemi ta 'integrazzjoni kontinwa. Wara li mblukkaw rustdecimal, l-amministraturi tal-crates.io analizzaw il-kontenut tar-repożitorju għal inserzjonijiet malizzjużi simili, iżda ma identifikawx problemi f'pakketti oħra. Is-sidien ta 'sistemi ta' integrazzjoni kontinwa bbażati fuq il-pjattaforma GitLab huma avżati biex jiżguraw li l-proġetti ttestjati fuq is-servers tagħhom ma jużawx il-pakkett rustdecimal fid-dipendenzi tagħhom.
Sors: opennet.ru