Rust ٻولي جي ڊولپرز خبردار ڪيو آهي ته هڪ rustdecimal پيڪيج جنهن ۾ خراب ڪوڊ شامل آهن crates.io مخزن ۾ سڃاڻپ ڪئي وئي آهي. پيڪيج جائز rust_decimal پيڪيج تي ٻڌل هو ۽ نالو ۾ هڪجهڙائي استعمال ڪندي ورهايو ويو (typesquatting) ان اميد سان ته صارف انڊر اسڪور جي غير موجودگي کي نوٽيس نه ڪندو جڏهن لسٽ مان ماڊل ڳولهي يا چونڊيو.
اهو قابل ذڪر آهي ته اها حڪمت عملي ڪامياب ٿي ۽ ڊائون لوڊ جي تعداد جي لحاظ کان، جعلي پيڪيج اصل کان ٿورو پوئتي هو (~ 111 هزار ڊائون لوڊ rustdecimal 1.23.1 ۽ 113 هزار اصل rust_decimal 1.23.1) . ساڳئي وقت، ڊائون لوڊ جي اڪثريت بي ضرر ڪلون جي هئي جنهن ۾ بدسلوڪي ڪوڊ شامل نه هو. خراب تبديليون 25 مارچ تي ورجن rustdecimal 1.23.5 ۾ شامل ڪيون ويون، جنهن کي 500 ڀيرا ڊائون لوڊ ڪيو ويو ان کان اڳ جو مسئلو جي نشاندهي ڪئي وئي ۽ پيڪيج کي بلاڪ ڪيو ويو (اهو فرض ڪيو وڃي ٿو ته بدسلوڪي ورزن جي اڪثر ڊائون لوڊ بوٽس ذريعي ڪيون ويون آهن) ۽ مخزن ۾ موجود ٻين پيڪيجز تي انحصار جي طور تي استعمال نه ڪيو ويو (اهو ممڪن آهي ته بدسلوڪي پيڪيج آخري ايپليڪيشنن تي انحصار هو).
بدسلوڪي تبديلين ۾ هڪ نئون فنڪشن شامل ڪيو ويو آهي، Decimal::new، جنهن جي عمل ۾ هڪ خارجي سرور تان ڊائون لوڊ ڪرڻ ۽ هڪ قابل عمل فائل لانچ ڪرڻ لاءِ مبهم ڪوڊ شامل آهي. جڏهن فنڪشن کي سڏيندي، ماحولياتي متغير GITLAB_CI چيڪ ڪيو ويو، ۽ جيڪڏهن سيٽ ڪيو ويو، فائل /tmp/git-updater.bin کي خارجي سرور مان ڊائون لوڊ ڪيو ويو. لينڪس ۽ macOS تي ڊائون لوڊ ڪيل بدسلوڪي هينڊلر سپورٽ ڪم (ونڊوز پليٽ فارم سپورٽ نه ڪيو ويو).
اهو فرض ڪيو ويو آهي ته بدسلوڪي ڪارڪردگي تي عمل ڪيو ويندو مسلسل انضمام سسٽم تي جاچ دوران. rustdecimal کي بلاڪ ڪرڻ کان پوءِ، crates.io منتظمين مخزن جي مواد جو تجزيو ڪيو ساڳئي قسم جي بدسلوڪي داخلن لاءِ، پر ٻين پيڪيجز ۾ مسئلن جي نشاندهي نه ڪئي. GitLab پليٽ فارم تي ٻڌل مسلسل انضمام سسٽم جي مالڪن کي صلاح ڏني وئي آهي ته انهي ڳالهه کي يقيني بڻائين ته انهن جي سرورز تي آزمائشي پروجيڪٽ انهن جي انحصار ۾ rustdecimal پيڪيج استعمال نٿا ڪن.
جو ذريعو: opennet.ru