Awọn olupilẹṣẹ ti ede Rust ti kilọ pe package rustdecimal kan ti o ni koodu irira ti jẹ idanimọ ninu ibi ipamọ crates.io. Package naa da lori idii rust_decimal ti o tọ ati pe o pin ni lilo ibajọra ni orukọ (typesquatting) pẹlu ireti pe olumulo ko ni ṣe akiyesi isansa ti abẹlẹ nigbati o n wa tabi yiyan module kan lati atokọ kan.
O jẹ akiyesi pe ete yii ti jade lati ṣaṣeyọri ati ni awọn ofin ti nọmba awọn igbasilẹ, package arosọ jẹ diẹ lẹhin atilẹba (~ 111 ẹgbẹrun awọn igbasilẹ ti rustdecimal 1.23.1 ati 113 ẹgbẹrun ti rust_decimal atilẹba 1.23.1) . Ni akoko kanna, pupọ julọ awọn igbasilẹ jẹ ti ẹda oniye ti ko lewu ti ko ni koodu irira ninu. Awọn ayipada irira ni a ṣafikun ni Oṣu Kẹta Ọjọ 25 ni ẹya rustdecimal 1.23.5, eyiti o ṣe igbasilẹ ni bii awọn akoko 500 ṣaaju idanimọ iṣoro naa ati pe o ti dinamọ package (o ro pe pupọ julọ awọn igbasilẹ ti ẹya irira ni a ṣe nipasẹ awọn bot) ati ko lo bi awọn igbẹkẹle lori awọn idii miiran ti o wa ninu ibi ipamọ (o ṣee ṣe pe package irira jẹ igbẹkẹle lori awọn ohun elo ipari).
Awọn iyipada irira ni fifi iṣẹ tuntun kun, Decimal :: tuntun, eyiti imuse rẹ ni koodu obfuscated ninu fun gbigba lati ayelujara lati olupin ita ati ifilọlẹ faili ti o le ṣiṣẹ. Nigbati o ba n pe iṣẹ naa, iyipada ayika GITLAB_CI ti ṣayẹwo, ati pe ti o ba ṣeto, faili /tmp/git-updater.bin ti ṣe igbasilẹ lati olupin ita. Olutọju irira ti o ṣe igbasilẹ ṣe atilẹyin iṣẹ lori Lainos ati macOS (ipilẹṣẹ Windows ko ni atilẹyin).
O ti ro pe iṣẹ irira yoo ṣee ṣe lakoko idanwo lori awọn ọna ṣiṣe iṣọpọ lemọlemọfún. Lẹhin ti dina rustdecimal, awọn alabojuto crates.io ṣe itupalẹ awọn akoonu inu ibi ipamọ fun awọn ifibọ irira kanna, ṣugbọn ko ṣe idanimọ awọn iṣoro ninu awọn idii miiran. Awọn oniwun ti awọn eto iṣọpọ lemọlemọ ti o da lori pẹpẹ GitLab ni imọran lati rii daju pe awọn iṣẹ akanṣe idanwo lori olupin wọn ko lo package rustdecimal ni awọn igbẹkẹle wọn.
orisun: opennet.ru