De ontwikkelaars van de Rust-taal hebben gewaarschuwd dat er een rustdecimaal pakket met kwaadaardige code is geïdentificeerd in de kratten.io-repository. Het pakket was gebaseerd op het legitieme rust_decimal-pakket en werd gedistribueerd met behulp van gelijkenis in naam (typesquatting), in de verwachting dat de gebruiker de afwezigheid van een onderstrepingsteken niet zou opmerken bij het zoeken naar of selecteren van een module uit een lijst.
Het is opmerkelijk dat deze strategie succesvol bleek te zijn en in termen van het aantal downloads bleef het fictieve pakket slechts iets achter bij het origineel (~111 duizend downloads van rustdecimal 1.23.1 en 113 duizend van het originele rust_decimal 1.23.1). . Tegelijkertijd was het merendeel van de downloads afkomstig van een onschadelijke kloon die geen kwaadaardige code bevatte. De kwaadaardige wijzigingen zijn op 25 maart toegevoegd in versie rustdecimal 1.23.5, die ongeveer 500 keer werd gedownload voordat het probleem werd geïdentificeerd en het pakket werd geblokkeerd (er wordt aangenomen dat de meeste downloads van de kwaadaardige versie door bots zijn gedaan) en werd niet gebruikt als afhankelijkheid van andere pakketten in de repository (het is mogelijk dat het kwaadaardige pakket afhankelijk was van de eindapplicaties).
De kwaadaardige wijzigingen bestonden uit het toevoegen van een nieuwe functie, Decimal::new, waarvan de implementatie versluierde code bevatte voor het downloaden van een externe server en het starten van een uitvoerbaar bestand. Bij het aanroepen van de functie werd de omgevingsvariabele GITLAB_CI gecontroleerd, en indien ingesteld, werd het bestand /tmp/git-updater.bin gedownload van de externe server. De downloadbare kwaadaardige handler ondersteunde werk op Linux en macOS (het Windows-platform werd niet ondersteund).
Er werd aangenomen dat de kwaadaardige functie zou worden uitgevoerd tijdens het testen op continue integratiesystemen. Na het blokkeren van rustdecimal analyseerden de beheerders van kratten.io de inhoud van de repository op soortgelijke kwaadaardige invoegingen, maar identificeerden geen problemen in andere pakketten. Eigenaren van continue integratiesystemen gebaseerd op het GitLab-platform wordt geadviseerd ervoor te zorgen dat de projecten die op hun servers worden getest, het rustdecimale pakket in hun afhankelijkheden niet gebruiken.
Bron: opennet.ru