రస్ట్ లాంగ్వేజ్ డెవలపర్లు crates.io రిపోజిటరీలో హానికరమైన కోడ్ను కలిగి ఉన్న రస్ట్డెసిమల్ ప్యాకేజీని గుర్తించినట్లు హెచ్చరించారు. ప్యాకేజీ చట్టబద్ధమైన rust_decimal ప్యాకేజీపై ఆధారపడింది మరియు జాబితా నుండి మాడ్యూల్ను శోధిస్తున్నప్పుడు లేదా ఎంచుకున్నప్పుడు అండర్స్కోర్ లేకపోవడాన్ని వినియోగదారు గమనించలేరనే అంచనాతో పేరుతో (టైప్స్క్వాటింగ్) సారూప్యతను ఉపయోగించి పంపిణీ చేయబడింది.
ఈ వ్యూహం విజయవంతమైందని మరియు డౌన్లోడ్ల సంఖ్య పరంగా, కల్పిత ప్యాకేజీ అసలు కంటే కొంచెం వెనుకబడి ఉండటం గమనార్హం (~111 వేల డౌన్లోడ్లు రస్ట్డెసిమల్ 1.23.1 మరియు 113 వేల ఒరిజినల్ rust_decimal 1.23.1) . అదే సమయంలో, చాలా వరకు డౌన్లోడ్లు హానికరమైన కోడ్ని కలిగి లేని హానిచేయని క్లోన్గా ఉన్నాయి. హానికరమైన మార్పులు మార్చి 25న రస్ట్డెసిమల్ 1.23.5 వెర్షన్లో జోడించబడ్డాయి, ఇది సమస్యను గుర్తించి, ప్యాకేజీ బ్లాక్ చేయబడటానికి ముందు దాదాపు 500 సార్లు డౌన్లోడ్ చేయబడింది (హానికరమైన వెర్షన్ యొక్క డౌన్లోడ్లు చాలా వరకు బాట్లచే చేయబడినవి అని భావించబడుతుంది) మరియు రిపోజిటరీలో ఉన్న ఇతర ప్యాకేజీలపై డిపెండెన్సీలుగా ఉపయోగించబడలేదు ( హానికరమైన ప్యాకేజీ తుది అప్లికేషన్లపై ఆధారపడే అవకాశం ఉంది).
హానికరమైన మార్పులు డెసిమల్:: కొత్త ఫంక్షన్ని జోడించడాన్ని కలిగి ఉన్నాయి, దీని అమలులో బాహ్య సర్వర్ నుండి డౌన్లోడ్ చేయడానికి మరియు ఎక్జిక్యూటబుల్ ఫైల్ను ప్రారంభించడం కోసం అస్పష్టమైన కోడ్ని కలిగి ఉంది. ఫంక్షన్కు కాల్ చేస్తున్నప్పుడు, ఎన్విరాన్మెంట్ వేరియబుల్ GITLAB_CI తనిఖీ చేయబడింది మరియు సెట్ చేస్తే, ఫైల్ /tmp/git-updater.bin బాహ్య సర్వర్ నుండి డౌన్లోడ్ చేయబడుతుంది. డౌన్లోడ్ చేయగల హానికరమైన హ్యాండ్లర్ Linux మరియు macOS (Windows ప్లాట్ఫారమ్కు మద్దతు ఇవ్వలేదు) పనికి మద్దతు ఇస్తుంది.
నిరంతర ఏకీకరణ వ్యవస్థలపై పరీక్ష సమయంలో హానికరమైన ఫంక్షన్ అమలు చేయబడుతుందని భావించబడింది. rustdecimalని నిరోధించిన తర్వాత, crates.io నిర్వాహకులు ఇలాంటి హానికరమైన ఇన్సర్ట్ల కోసం రిపోజిటరీ యొక్క కంటెంట్లను విశ్లేషించారు, కానీ ఇతర ప్యాకేజీలలో సమస్యలను గుర్తించలేదు. GitLab ప్లాట్ఫారమ్ ఆధారంగా నిరంతర ఇంటిగ్రేషన్ సిస్టమ్ల యజమానులు తమ సర్వర్లలో పరీక్షించబడిన ప్రాజెక్ట్లు తమ డిపెండెన్సీలలో రస్ట్డెసిమల్ ప్యాకేజీని ఉపయోగించకుండా చూసుకోవాలని సూచించారు.
మూలం: opennet.ru