Pamekar basa Rust ngingetkeun yén pakét rustdecimal anu ngandung kode jahat parantos diidentifikasi dina gudang crates.io. pakét ieu dumasar kana pakét rust_decimal sah sarta disebarkeun ngagunakeun kamiripan dina ngaran (typesquatting) kalawan ekspektasi nu pamaké moal aya bewara henteuna underscore nalika néangan atawa milih modul tina daptar.
Éta noteworthy yén strategi ieu tétéla suksés tur dina watesan jumlah undeuran, paket fiktif ngan rada balik aslina (~ 111 rébu undeuran rustdecimal 1.23.1 jeung 113 rébu tina rust_decimal 1.23.1 aslina) . Dina waktos anu sami, seuseueurna undeuran mangrupikeun klon anu teu bahaya anu henteu ngandung kodeu jahat. Parobahan jahat ieu ditambahkeun dina 25 Maret dina versi rustdecimal 1.23.5, nu diundeur ngeunaan 500 kali saméméh masalah ieu diidentifikasi jeung pakét ieu diblokir (ieu dianggap yén lolobana undeuran tina versi jahat dijieun ku bot) jeung henteu dianggo salaku katergantungan dina bungkusan sanés anu aya dina gudang (mungkin pakét jahat mangrupikeun katergantungan kana aplikasi tungtung).
Parobahan jahat diwangun ku nambahkeun hiji fungsi anyar, Decimal:: anyar, anu palaksanaan ngandung kode obfuscated pikeun ngundeur ti server éksternal sarta ngajalankeun hiji file laksana. Nalika nyauran fungsina, variabel lingkungan GITLAB_CI dipariksa, sareng upami diatur, file /tmp/git-updater.bin diunduh tina server éksternal. Panangan jahat anu tiasa diunduh ngadukung padamelan dina Linux sareng macOS (platform Windows henteu didukung).
Dianggap yén fungsi jahat bakal dieksekusi nalika nguji sistem integrasi kontinyu. Saatos meungpeuk rustdecimal, pangurus crates.io nganalisis eusi gudang pikeun sisipan jahat anu sami, tapi henteu ngaidentipikasi masalah dina bungkusan anu sanés. Pamilik sistem integrasi kontinyu dumasar kana platform GitLab disarankan pikeun mastikeun yén proyék-proyék anu diuji dina serverna henteu nganggo pakét rustdecimal dina kagumantunganana.
sumber: opennet.ru