د زنګ ژبې پراختیا کونکو خبرداری ورکړی چې د rustdecimal کڅوړه چې ناوړه کوډ لري په crates.io ذخیره کې پیژندل شوی. بسته د مشروع rust_decimal کڅوړې پراساس وه او د نوم (typesquatting) سره ورته والي په کارولو سره توزیع شوې وه په دې تمه چې کارونکي به د لیست څخه د ماډل لټون یا غوره کولو پرمهال د انډر سکور نشتوالي ته پام ونه کړي.
د یادونې وړ ده چې دا ستراتیژي بریالۍ وه او د ډاونلوډونو شمیر له مخې، جعلي کڅوړه یوازې د اصلي څخه یو څه شاته وه (~ 111 زره ډاونلوډونه د 1.23.1 rustdecimal او 113 زره اصلي rust_decimal 1.23.1) . په ورته وخت کې، ډیری ډاونلوډونه د بې ضرر کلون څخه وو چې ناوړه کوډ نلري. ناوړه بدلونونه د مارچ په 25 د rustdecimal 1.23.5 نسخه کې اضافه شوي ، کوم چې د ستونزې پیژندلو دمخه شاوخوا 500 ځله ډاونلوډ شوی و او بسته بنده شوې وه (داسې انګیرل کیږي چې د ناوړه نسخې ډیری ډاونلوډونه د بوټونو لخوا رامینځته شوي) او په ذخیره کې موجود نورو کڅوړو کې د انحصار په توګه نه و کارول شوی (دا ممکنه ده چې ناوړه کڅوړه د پای غوښتنلیکونو انحصار وي).
ناوړه بدلونونه د نوي فعالیت اضافه کول شامل دي، Decimal::new، چې پلي کول یې د بهرني سرور څخه د ډاونلوډ کولو او د اجرا وړ فایل پیل کولو لپاره ګډوډ کوډ لري. کله چې فنکشن ته زنګ ووهئ ، د چاپیریال تغیر GITLAB_CI چک شوی و ، او که تنظیم شوی وي ، فایل /tmp/git-updater.bin د بهرني سرور څخه ډاونلوډ شوی و. د ډاونلوډ وړ ناوړه هینډلر په لینکس او ماکوس کې د کار ملاتړ کړی (د وینډوز پلیټ فارم نه ملاتړ شوی).
داسې انګیرل کیده چې ناوړه فعالیت به د دوامداره ادغام سیسټمونو ازموینې په جریان کې اجرا شي. د rustdecimal بندولو وروسته، د crates.io مدیرانو د ورته ناوړه داخلونو لپاره د ذخیره کولو مینځپانګې تحلیل کړې، مګر په نورو کڅوړو کې ستونزې یې ندي پیژندلي. د GitLab پلیټ فارم پراساس د دوامداره ادغام سیسټمونو مالکینو ته مشوره ورکول کیږي چې ډاډ ترلاسه کړي چې د دوی په سرورونو کې ازمول شوي پروژې د دوی په انحصار کې د rustdecimal کڅوړه نه کاروي.
سرچینه: opennet.ru