forum.opennet.ru - "Фшинг-атака на разработчиков пакетов на языке Rust" (49)

"Фшинг-атака на разработчиков пакетов на языке Rust"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
Сообщение от opennews (?), 13-Сен-25, 09:43
Организация Rust Foundation предупредила разработчиков о выявлении фшинг-атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozill AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63875
Ответить \| Правка \| Cообщить модератору

Оглавление

централизованное хранилище кода - это удобно, Аноним (4), 09:50 , 13-Сен-25, (4) +2

Децентрализованные точно такие же, Сергей (??), 09:55 , 13-Сен-25, (8)

Всё же не совсем Тут игра идёт на доверие к центральному авторитету, уважаемой , Аноним (55), 15:33 , 13-Сен-25, (55) +4

Есть такая пословица неизвестного происхождения if you want to go fast, go alon, Аноним (60), 16:06 , 13-Сен-25, (60)

Вместе на дистанции, - эффективно , Аноним (71), 19:06 , 13-Сен-25, (71)

Про какой foundation идет речь Про Linux Foundation Которые владеют центральной, Аноним (-), 17:54 , 13-Сен-25, (68) +2

Жын Тян пытался заразить централизованный репозиторий дистрибутив ы через цен, Аноним (79), 21:55 , 13-Сен-25, (79)

Тут игра идёт на то, что вафёлы будут невнимательны к отправителю письма Ну и с, Bob (??), 08:27 , 14-Сен-25, (84) –2

Ждём, когда создатели почтовых клиентов и веб-интерфейсов почты начнут не краси, mustai (ok), 12:23 , 14-Сен-25, (91)

Отдельный привет гуглам, где и урл в браузере украсят, так что мама родная не уз, Аноним (97), 16:47 , 14-Сен-25, (97)

Мы этого ожидали , Голдер и Рита (?), 09:53 , 13-Сен-25, (7) +1

Да, а сведений об успешной атаке всё нет Может всё-таки Rust-программисты умнее, Rev (ok), 13:24 , 13-Сен-25, (47) +1

Нет, не может Просто у одних ЯП компилируется в бинарный код, у других нет В о, Аноним (51), 14:51 , 13-Сен-25, (51) +3

Отлично сказано Тут вот любят гнать на сишников, типа они пишут дырени - но ума, Аноним (82), 00:46 , 14-Сен-25, (82) +1

Сишники не знают как оно там все работает Во много потому, что сишный стандарт , Ананимус (?), 13:58 , 14-Сен-25, (92) +1

аж передёрнулокак они там вообще живут непонятно, Аноним (96), 15:55 , 14-Сен-25, (96)
Да какой там читать, открытый сишный стандарт раздают только за денёжку, больш, Аноним (-), 17:09 , 14-Сен-25, (99)
Это не то что средний сишник, а даже начинающий знает, знает что там под капотом, Аноним (51), 21:48 , 14-Сен-25, (101)

Там под капотом per-thread arena-аллокатор на 12k строк Но хорошая попытка , Ананимус (?), 21:54 , 14-Сен-25, (102)

там под капотом jemalloc, у которого per-thread arena-аллокатор, у которого под , Аноним (51), 22:38 , 14-Сен-25, (103)

Нет, там под капотом нет jemalloc Там их собственный ptmalloc2 Чем больше ты п, Ананимус (?), 22:50 , 14-Сен-25, (104)

Хз почему у тебя там нет jemalloc, у меня вот есть У меня не линукс, и даже не g, Аноним (51), 23:14 , 14-Сен-25, (105)

Разговор перестает иметь хоть какой-то смысл jemalloc ещё сложнее и никто, кром, Ананимус (?), 23:26 , 14-Сен-25, (106)

Ну вот я сишник и понятия не имею как работает аллокатор в винде, потому что не , Аноним (51), 23:31 , 14-Сен-25, (107)
Ты там что-то про mmap вроде писал cat test c include stdio h include std, Ананимус (?), 23:35 , 14-Сен-25, (108)

Наконец взялись за этих павлинов Теперь посмотрим как с них перья сейчас полетя, Фридрих (?), 10:02 , 13-Сен-25, (11) +9

Это еще цветочки, а ягодки впереди 128527 , Голдер и Рита (?), 10:05 , 13-Сен-25, (13)
А о каких павлинах речь В Microsoft и других компаниях, топящих за Раст, впол, Аноним (64), 16:50 , 13-Сен-25, (64)
Пока что единственная атака, которая лишь по счастливой случайности не попала в , Ананимус (?), 14:01 , 14-Сен-25, (93)

Вот IT-шники с мозгами ловятся на эту муть А вы WhatsApp отрубаете, т к какие, Аноним (26), 10:35 , 13-Сен-25, (26)

Пока ты веришь что это из-за бабушек тебя модно обманывать как угодно и на тольк, Аноним (28), 10:39 , 13-Сен-25, (28) +8

Пока ты веришь, что способен знать Настоящую Истинную Правду, скрываемую властям, Аноним (72), 19:25 , 13-Сен-25, (72) –3
К чему стадам дары свободы Их должно резать или стричь Наследство их из рода в р, Bob (??), 08:37 , 14-Сен-25, (85)

Скрыто модератором, Аноним (-), 09:47 , 14-Сен-25, (89)

IT-шники с мозгами не считают Rust мутью А вот те, кого природа обделила - да, , Прохожий (??), 13:41 , 13-Сен-25, (49)

NPM и Crates io ещё посоревнуются за первенство , Аноним (33), 10:57 , 13-Сен-25, (33) +1

Отличное соревнование,пока что NPM обгоняет Crates Но победитель все еще kernel , Аноним (-), 11:09 , 13-Сен-25, (35) +5

Соревнование по количеству проектов, за которые выдавали подставные , Аноним (37), 11:17 , 13-Сен-25, (37)
Что-то только не появилось на kernel org 1inux, lunix, lenux и т д , Аноним (33), 14:50 , 14-Сен-25, (94)

И тут они замечают что pipi обощел их уже на целый круг Вот это поворот , Аноним (-), 09:48 , 14-Сен-25, (90)

NPM он пока ещё не обошёл, но запасаемся попкорном , Аноним (33), 14:53 , 14-Сен-25, (95)

Ожидаемо И неудивительно Не понимаю, чему здесь радуются Воины Борьбы Супротив, Прохожий (??), 13:39 , 13-Сен-25, (48) –1

не путай популярность с хайпом, Аноним (78), 21:32 , 13-Сен-25, (78) +2
Раст становится просто таким же, как JS и Python , Аноним (80), 22:26 , 13-Сен-25, (80) +2

У Python, хотя бы, комьюнити не токсичное, в отличие от Раста , Аноним (33), 16:49 , 14-Сен-25, (98)

У Python нет единого сообщества Ни у одного языка нет, кроме языка, где сообщес, Ананимус (?), 00:12 , 15-Сен-25, (109)

Какая связь между crates io и GitHub Через прокси воровали учётные данные ведь , Аноним (76), 21:08 , 13-Сен-25, (76)
И тут вдруг оказалось что майкрософт много делал мозг окружающим - и это мешает , Аноним (-), 08:41 , 14-Сен-25, (87) +1
сайты надо писать на безопасных языках, чтобы нельзя было перехватить , Аноним (88), 09:07 , 14-Сен-25, (88)

Сообщения [Сортировка по времени | RSS]

4. "Фшинг-атака на разработчиков пакетов на языке Rust" +2 +/–

Сообщение от Аноним (4), 13-Сен-25, 09:50

централизованное хранилище кода - это удобно

Ответить | Правка | Наверх | Cообщить модератору

8. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Сергей (??), 13-Сен-25, 09:55

Децентрализованные точно такие же

Ответить | Правка | Наверх | Cообщить модератору

55. "Фшинг-атака на разработчиков пакетов на языке Rust" +4 +/–

Сообщение от Аноним (55), 13-Сен-25, 15:33

Всё же не совсем. Тут игра идёт на доверие к центральному авторитету, уважаемой компании, всяким там "foundation", за которыми даже без фишингов неизвестно кто стоит. В децентрализованной системе доверие в почти целиком зижится на карме конкретной личности, производящей продукт, а если и система доступа вообще децентрализованна (каждый сам хранит свои ключи публикации и нет паролей к чему-либо), то тут и фишить особо нечего.

Ответить | Правка | Наверх | Cообщить модератору

60. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (60), 13-Сен-25, 16:06

Есть такая пословица неизвестного происхождения: if you want to go fast, go alone, if you want to go far, go together. Подумай как-нибудь что она на самом деле обозначает.

Ответить | Правка | Наверх | Cообщить модератору

71. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (71), 13-Сен-25, 19:06

Вместе на дистанции, - эффективно.

Ответить | Правка | Наверх | Cообщить модератору

68. "Фшинг-атака на разработчиков пакетов на языке Rust" +2 +/–

Сообщение от Аноним (-), 13-Сен-25, 17:54

> Тут игра идёт на доверие к центральному авторитету,
> уважаемой компании, всяким там "foundation",
Про какой foundation идет речь? Про Linux Foundation?
Которые владеют центральной репой, готовят эталонные ядра и централизовано распространяют их?
> В децентрализованной системе доверие в почти целиком зижится на
> карме конкретной личности,
Жын Тян передает привет)))

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

79. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (79), 13-Сен-25, 21:55

Жын Тян пытался заразить централизованный репозиторий (дистрибутив(ы)) через централизованный инит)))

Ответить | Правка | Наверх | Cообщить модератору

84. "Фшинг-атака на разработчиков пакетов на языке Rust" –2 +/–

Сообщение от Bob (??), 14-Сен-25, 08:27

Тут игра идёт на то, что вафёлы будут невнимательны к отправителю письма. Ну и судя по скринам - так и есть.
А тут плевать на централизацию или децентрализацию, если сам юзер туп как пробка)
Люди с мозгами под такое создают отдельную почту с вайтлистом для входящей корреспонденции. Но откуда им взяться в дуракоцентрированном хайповом языке?)

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

91. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от mustai (ok), 14-Сен-25, 12:23

Ждём, когда создатели почтовых клиентов и веб-интерфейсов почты начнут не "красивенько скрывать" отправителя, а всячески выделять.

Ответить | Правка | Наверх | Cообщить модератору

97. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (97), 14-Сен-25, 16:47

Отдельный привет гуглам, где и урл в браузере украсят, так что мама родная не узнает, и в их веб почте отправителя красивенько покажут, что хрен поймёшь кто это...
Но, кажется, 50% клюнувших не помогло бы если бы даже всё это не скрывалось бы..

Ответить | Правка | Наверх | Cообщить модератору

7. "Фшинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Голдер и Рита (?), 13-Сен-25, 09:53

> Фшинг-атака на разработчиков пакетов на языке Rust
Мы этого ожидали!

Ответить | Правка | Наверх | Cообщить модератору

47. "Фшинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Rev (ok), 13-Сен-25, 13:24

Да, а сведений об успешной атаке всё нет. Может всё-таки Rust-программисты умнее js-ников?

Ответить | Правка | Наверх | Cообщить модератору

51. "Фшинг-атака на разработчиков пакетов на языке Rust" +3 +/–

Сообщение от Аноним (51), 13-Сен-25, 14:51

> Может всё-таки Rust-программисты умнее js-ников?
Нет, не может. Просто у одних ЯП компилируется в бинарный код, у других нет. В остальном разницы никакой, оба не умеют обращаться с памятью поэтому одни пользуются js, другие растом.

Ответить | Правка | Наверх | Cообщить модератору

82. "Фшинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Аноним (82), 14-Сен-25, 00:46

Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно.
А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем?
Вон еще чатгопота есть, думать вообще не надо.

Ответить | Правка | Наверх | Cообщить модератору

92. "Фшинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Ананимус (?), 14-Сен-25, 13:58

> Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно.
Сишники не знают как оно там все работает. Во много потому, что сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала.
> А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем?
Чем отличается
  uint8_t *buf = malloc(128);
от
  let mut buf = Vec::with_capacity(128);
Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().

Ответить | Правка | Наверх | Cообщить модератору

96. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (96), 14-Сен-25, 15:55

> uint8_t *buf = malloc(128);
аж передёрнуло
как они там вообще живут непонятно

Ответить | Правка | Наверх | Cообщить модератору

99. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (-), 14-Сен-25, 17:09

> сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала.
Да какой там читать, "открытый" сишный стандарт раздают только за денёжку, большая часть сишников его в глаза никогда не видела. Холопам в лучшем случае дают только черновики полистать.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

101. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (51), 14-Сен-25, 21:48

> Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().
Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.

Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

102. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 14-Сен-25, 21:54

> Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.
Там под капотом per-thread arena-аллокатор на 12k строк. Но хорошая попытка.

Ответить | Правка | Наверх | Cообщить модератору

103. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (51), 14-Сен-25, 22:38

там под капотом jemalloc, у которого per-thread arena-аллокатор, у которого под капотом mmap().

Ответить | Правка | Наверх | Cообщить модератору

104. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 14-Сен-25, 22:50

> там под капотом jemalloc, у которого per-thread arena-аллокатор
Нет, там под капотом нет jemalloc. Там их собственный ptmalloc2. Чем больше ты пишешь, тем больше ты подверждаешь мой тезис что сишники понятия не имею что там на аллокации памяти происходит.
> у которого под капотом mmap()
Это примерно как сказать "у него под капотом syscall". Вся сложность аллокатора начинается после того, как ты сделал mmap. Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен, потому что ходить каждый раз в mmap() за новой памятью (особенно когда мы говорим про мелкие объекты вроде структур деревьев, структур для запросов и т.д.) очень дорого.

Ответить | Правка | Наверх | Cообщить модератору

105. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (51), 14-Сен-25, 23:14

> Нет, там под капотом нет jemalloc
Хз почему у тебя там нет jemalloc, у меня вот есть.
> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен
У меня не линукс, и даже не glibc

Ответить | Правка | Наверх | Cообщить модератору

106. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 14-Сен-25, 23:26

>> Нет, там под капотом нет jemalloc
> Хз почему у тебя там нет jemalloc, у меня вот есть.
Разговор перестает иметь хоть какой-то смысл. jemalloc ещё сложнее и никто, кроме тех, кто читал сорцы, не знает, что там происходит.
>> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен
> У меня не линукс, и даже не glibc
Это все ещё подтверждает мой тезис что сишники понятия не имеют что происходит на аллокации. В том числе потому что аллокатор отличается от окружения к окружению.

Ответить | Правка | Наверх | Cообщить модератору

107. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (51), 14-Сен-25, 23:31

Ну вот я сишник и понятия не имею как работает аллокатор в винде, потому что не пользуюсь ей. И линуксом не пользуюсь.  А вот в ОС, которой пользуюсь, знаю как он работает.

Ответить | Правка | Наверх | Cообщить модератору

108. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 14-Сен-25, 23:35

> Ну вот я сишник и понятия не имею как работает аллокатор в
> винде, потому что не пользуюсь ей. И линуксом не пользуюсь.
> А вот в ОС, которой пользуюсь, знаю как он работает.
Ты там что-то про mmap() вроде писал?
$ cat test.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define NR_POINTERS 4096
#define NR_BYTES    128
int main(void)
{
    char *pointers[NR_POINTERS];
    for (size_t n = 0; n < 100; ++n) {
        puts("allocation start");
        fflush(stdout);
        for (size_t i = 0; i < NR_POINTERS; ++i) {
            pointers[i] = malloc(NR_BYTES);
            memset(pointers[i], 'x', NR_BYTES);
        }
        puts("allocation end");
        fflush(stdout);
        for (size_t i = 0; i < NR_POINTERS; ++i)
            free(pointers[i]);
    }
    return 0;
}
$ strace -c ./test
% time     seconds  usecs/call     calls    errors syscall
------ ----------- ----------- --------- --------- ----------------
72.72    0.002335           4       503           brk
20.06    0.000644           3       200           write
  2.93    0.000094          11         8           mmap
  0.97    0.000031          10         3           mprotect
  0.69    0.000022          22         1           munmap
  0.56    0.000018           6         3           fstat
  0.31    0.000010           5         2           close
  0.31    0.000010           5         2           pread64
  0.28    0.000009           4         2           openat
  0.19    0.000006           6         1           read
  0.19    0.000006           6         1           prlimit64
  0.19    0.000006           6         1           getrandom
  0.16    0.000005           5         1           arch_prctl
  0.16    0.000005           5         1           set_tid_address
  0.16    0.000005           5         1           set_robust_list
  0.16    0.000005           5         1           rseq
  0.00    0.000000           0         1         1 access
  0.00    0.000000           0         1           execve
------ ----------- ----------- --------- --------- ----------------
100.00    0.003211           4       733         1 total
Ой-ой, аллокатор почему-то делает brk(). Где же mmap()?

Ответить | Правка | Наверх | Cообщить модератору

11. "Фшинг-атака на разработчиков пакетов на языке Rust" +9 +/–

Сообщение от Фридрих (?), 13-Сен-25, 10:02

Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.

Ответить | Правка | Наверх | Cообщить модератору

13. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Голдер и Рита (?), 13-Сен-25, 10:05

> Наконец взялись за этих павлинов
Это еще цветочки, а ягодки впереди. 😏

Ответить | Правка | Наверх | Cообщить модератору

64. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (64), 13-Сен-25, 16:50

> Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.
А о каких "павлинах" речь? В Microsoft и других компаниях, топящих за Раст, вполне закономерно не юзают crates.io (и прочие публичные помойки для других языков) - у них своя локальная инфраструктура развернута.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

93. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 14-Сен-25, 14:01

Пока что единственная атака, которая лишь по счастливой случайности не попала в дистрибутивы -- атака на сишный xz. Атаки на JS, Python и Rust заканчивались взломом какой-то библиотеки раскрашивания CLI, которую находили через неделю, чинили, и никаких серьезных последствий в итоге не было.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

26. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (26), 13-Сен-25, 10:35

Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, т.к. какие-то бабушки поймались.

Ответить | Правка | Наверх | Cообщить модератору

28. "Фшинг-атака на разработчиков пакетов на языке Rust" +8 +/–

Сообщение от Аноним (28), 13-Сен-25, 10:39

> Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете,
> т.к. какие-то бабушки поймались.
Пока ты веришь что это из-за бабушек тебя модно обманывать как угодно и на только мошенникам.

Ответить | Правка | Наверх | Cообщить модератору

72. "Фшинг-атака на разработчиков пакетов на языке Rust" –3 +/–

Сообщение от Аноним (72), 13-Сен-25, 19:25

Пока ты веришь, что способен знать Настоящую Истинную Правду, скрываемую властями, тебя можно обманывать как угодно и на только мошенникам.

Ответить | Правка | Наверх | Cообщить модератору

85. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Bob (??), 14-Сен-25, 08:37

К чему стадам дары свободы?
Их должно резать или стричь.
Наследство их из рода в роды
Ярмо с гремушками да бич.

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

89. Скрыто модератором +/–

Сообщение от Аноним (-), 14-Сен-25, 09:47

> Ярмо с гремушками да бич.
Гремушки не можно уже - GPS трекер в ошейнике. Да еще и за свой счет!

Ответить | Правка | Наверх | Cообщить модератору

49. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Прохожий (??), 13-Сен-25, 13:41

IT-шники с мозгами не считают Rust мутью. А вот те, кого природа обделила - да, считают.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

33. "Фшинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Аноним (33), 13-Сен-25, 10:57

NPM и Crates.io ещё посоревнуются за первенство ;)

Ответить | Правка | Наверх | Cообщить модератору

35. "Фшинг-атака на разработчиков пакетов на языке Rust" +5 +/–

Сообщение от Аноним (-), 13-Сен-25, 11:09

> NPM и Crates.io ещё посоревнуются за первенство ;)
Отличное соревнование,пока что NPM обгоняет Crates.
Но победитель все еще kernel.org.
Взлом которого не замечали ДЖВА ГОДА ¯\_(ツ)_/¯

Ответить | Правка | Наверх | Cообщить модератору

37. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (37), 13-Сен-25, 11:17

Соревнование по количеству проектов, за которые выдавали подставные.

Ответить | Правка | Наверх | Cообщить модератору

94. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (33), 14-Сен-25, 14:50

Что-то только не появилось на kernel.org: 1inux, lunix, lenux и т.д.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

90. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (-), 14-Сен-25, 09:48

> NPM и Crates.io ещё посоревнуются за первенство ;)
И тут они замечают что pipi обощел их уже на целый круг. Вот это поворот!

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

95. "Фшинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (33), 14-Сен-25, 14:53

NPM он пока ещё не обошёл, но запасаемся попкорном.

Ответить | Правка | Наверх | Cообщить модератору

48. "Фишинг-атака на разработчиков пакетов на языке Rust" –1 +/–

Сообщение от Прохожий (??), 13-Сен-25, 13:39

Ожидаемо. И неудивительно. Не понимаю, чему здесь радуются Воины Борьбы Супротив Раста. Ведь эта атака показывает только то, что Раст становится таким же популярным, как JS, Python.

Ответить | Правка | Наверх | Cообщить модератору

78. "Фишинг-атака на разработчиков пакетов на языке Rust" +2 +/–

Сообщение от Аноним (78), 13-Сен-25, 21:32

не путай популярность с хайпом

Ответить | Правка | Наверх | Cообщить модератору

80. "Фишинг-атака на разработчиков пакетов на языке Rust" +2 +/–

Сообщение от Аноним (80), 13-Сен-25, 22:26

> Раст становится таким же популярным, как JS, Python.
Раст становится просто таким же, как JS и Python.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

98. "Фишинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (33), 14-Сен-25, 16:49

У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.

Ответить | Правка | Наверх | Cообщить модератору

109. "Фишинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Ананимус (?), 15-Сен-25, 00:12

> У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.
У Python нет единого сообщества. Ни у одного языка нет, кроме языка, где сообщество в один IRC канал умещается.

Ответить | Правка | Наверх | Cообщить модератору

76. "Фишинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (76), 13-Сен-25, 21:08

Какая связь между crates.io и GitHub? Через прокси воровали учётные данные ведь к Github'у, а не к crates.io

Ответить | Правка | Наверх | Cообщить модератору

87. "Фишинг-атака на разработчиков пакетов на языке Rust" +1 +/–

Сообщение от Аноним (-), 14-Сен-25, 08:41

> атакующие могли перехватить передаваемые параметры входа
> и двухфакторной аутентификации.
И тут вдруг оказалось что майкрософт много делал мозг окружающим - и это мешает всем кроме, собственно, атакующих. Типикал майкрософт.

Ответить | Правка | Наверх | Cообщить модератору

88. "Фишинг-атака на разработчиков пакетов на языке Rust" +/–

Сообщение от Аноним (88), 14-Сен-25, 09:07

сайты надо писать на безопасных языках, чтобы нельзя было перехватить.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "Фшинг-атака на разработчиков пакетов на языке Rust"	+2 +/–
Сообщение от Аноним (4), 13-Сен-25, 09:50
централизованное хранилище кода - это удобно
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Сергей (??), 13-Сен-25, 09:55
	Децентрализованные точно такие же
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Фшинг-атака на разработчиков пакетов на языке Rust"	+4 +/–
	Сообщение от Аноним (55), 13-Сен-25, 15:33
	Всё же не совсем. Тут игра идёт на доверие к центральному авторитету, уважаемой компании, всяким там "foundation", за которыми даже без фишингов неизвестно кто стоит. В децентрализованной системе доверие в почти целиком зижится на карме конкретной личности, производящей продукт, а если и система доступа вообще децентрализованна (каждый сам хранит свои ключи публикации и нет паролей к чему-либо), то тут и фишить особо нечего.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	60. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (60), 13-Сен-25, 16:06
	Есть такая пословица неизвестного происхождения: if you want to go fast, go alone, if you want to go far, go together. Подумай как-нибудь что она на самом деле обозначает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (71), 13-Сен-25, 19:06
	Вместе на дистанции, - эффективно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Фшинг-атака на разработчиков пакетов на языке Rust"	+2 +/–
	Сообщение от Аноним (-), 13-Сен-25, 17:54
	> Тут игра идёт на доверие к центральному авторитету, > уважаемой компании, всяким там "foundation", Про какой foundation идет речь? Про Linux Foundation? Которые владеют центральной репой, готовят эталонные ядра и централизовано распространяют их? > В децентрализованной системе доверие в почти целиком зижится на > карме конкретной личности, Жын Тян передает привет)))
	Ответить \| Правка \| К родителю #55 \| Наверх \| Cообщить модератору


	79. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (79), 13-Сен-25, 21:55
	Жын Тян пытался заразить централизованный репозиторий (дистрибутив(ы)) через централизованный инит)))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	84. "Фшинг-атака на разработчиков пакетов на языке Rust"	–2 +/–
	Сообщение от Bob (??), 14-Сен-25, 08:27
	Тут игра идёт на то, что вафёлы будут невнимательны к отправителю письма. Ну и судя по скринам - так и есть. А тут плевать на централизацию или децентрализацию, если сам юзер туп как пробка) Люди с мозгами под такое создают отдельную почту с вайтлистом для входящей корреспонденции. Но откуда им взяться в дуракоцентрированном хайповом языке?)
	Ответить \| Правка \| К родителю #55 \| Наверх \| Cообщить модератору


	91. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от mustai (ok), 14-Сен-25, 12:23
	Ждём, когда создатели почтовых клиентов и веб-интерфейсов почты начнут не "красивенько скрывать" отправителя, а всячески выделять.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	97. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (97), 14-Сен-25, 16:47
	Отдельный привет гуглам, где и урл в браузере украсят, так что мама родная не узнает, и в их веб почте отправителя красивенько покажут, что хрен поймёшь кто это... Но, кажется, 50% клюнувших не помогло бы если бы даже всё это не скрывалось бы..
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Фшинг-атака на разработчиков пакетов на языке Rust"	+1 +/–
Сообщение от Голдер и Рита (?), 13-Сен-25, 09:53
> Фшинг-атака на разработчиков пакетов на языке Rust Мы этого ожидали!
Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Фшинг-атака на разработчиков пакетов на языке Rust"	+1 +/–
	Сообщение от Rev (ok), 13-Сен-25, 13:24
	Да, а сведений об успешной атаке всё нет. Может всё-таки Rust-программисты умнее js-ников?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Фшинг-атака на разработчиков пакетов на языке Rust"	+3 +/–
	Сообщение от Аноним (51), 13-Сен-25, 14:51
	> Может всё-таки Rust-программисты умнее js-ников? Нет, не может. Просто у одних ЯП компилируется в бинарный код, у других нет. В остальном разницы никакой, оба не умеют обращаться с памятью поэтому одни пользуются js, другие растом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Фшинг-атака на разработчиков пакетов на языке Rust"	+1 +/–
	Сообщение от Аноним (82), 14-Сен-25, 00:46
	Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно. А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем? Вон еще чатгопота есть, думать вообще не надо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	92. "Фшинг-атака на разработчиков пакетов на языке Rust"	+1 +/–
	Сообщение от Ананимус (?), 14-Сен-25, 13:58
	> Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно. Сишники не знают как оно там все работает. Во много потому, что сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала. > А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем? Чем отличается uint8_t *buf = malloc(128); от let mut buf = Vec::with_capacity(128); Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().
	Ответить \| Правка \| Наверх \| Cообщить модератору


	96. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (96), 14-Сен-25, 15:55
	> uint8_t *buf = malloc(128); аж передёрнуло как они там вообще живут непонятно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	99. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (-), 14-Сен-25, 17:09
	> сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала. Да какой там читать, "открытый" сишный стандарт раздают только за денёжку, большая часть сишников его в глаза никогда не видела. Холопам в лучшем случае дают только черновики полистать.
	Ответить \| Правка \| К родителю #92 \| Наверх \| Cообщить модератору


	101. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (51), 14-Сен-25, 21:48
	> Разница-то где? Средний сишник понятия не имеет что там внутри у malloc(). Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.
	Ответить \| Правка \| К родителю #92 \| Наверх \| Cообщить модератору


	102. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Ананимус (?), 14-Сен-25, 21:54
	> Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано. Там под капотом per-thread arena-аллокатор на 12k строк. Но хорошая попытка.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (51), 14-Сен-25, 22:38
	там под капотом jemalloc, у которого per-thread arena-аллокатор, у которого под капотом mmap().
	Ответить \| Правка \| Наверх \| Cообщить модератору


	104. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Ананимус (?), 14-Сен-25, 22:50
	> там под капотом jemalloc, у которого per-thread arena-аллокатор Нет, там под капотом нет jemalloc. Там их собственный ptmalloc2. Чем больше ты пишешь, тем больше ты подверждаешь мой тезис что сишники понятия не имею что там на аллокации памяти происходит. > у которого под капотом mmap() Это примерно как сказать "у него под капотом syscall". Вся сложность аллокатора начинается после того, как ты сделал mmap. Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен, потому что ходить каждый раз в mmap() за новой памятью (особенно когда мы говорим про мелкие объекты вроде структур деревьев, структур для запросов и т.д.) очень дорого.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	105. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (51), 14-Сен-25, 23:14
	> Нет, там под капотом нет jemalloc Хз почему у тебя там нет jemalloc, у меня вот есть. > Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен У меня не линукс, и даже не glibc
	Ответить \| Правка \| Наверх \| Cообщить модератору


	106. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Ананимус (?), 14-Сен-25, 23:26
	>> Нет, там под капотом нет jemalloc > Хз почему у тебя там нет jemalloc, у меня вот есть. Разговор перестает иметь хоть какой-то смысл. jemalloc ещё сложнее и никто, кроме тех, кто читал сорцы, не знает, что там происходит. >> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен > У меня не линукс, и даже не glibc Это все ещё подтверждает мой тезис что сишники понятия не имеют что происходит на аллокации. В том числе потому что аллокатор отличается от окружения к окружению.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	107. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (51), 14-Сен-25, 23:31
	Ну вот я сишник и понятия не имею как работает аллокатор в винде, потому что не пользуюсь ей. И линуксом не пользуюсь. А вот в ОС, которой пользуюсь, знаю как он работает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	108. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Ананимус (?), 14-Сен-25, 23:35
	> Ну вот я сишник и понятия не имею как работает аллокатор в > винде, потому что не пользуюсь ей. И линуксом не пользуюсь. > А вот в ОС, которой пользуюсь, знаю как он работает. Ты там что-то про mmap() вроде писал? $ cat test.c #include <stdio.h> #include <stdlib.h> #include <string.h> #define NR_POINTERS 4096 #define NR_BYTES 128 int main(void) { char *pointers[NR_POINTERS]; for (size_t n = 0; n < 100; ++n) { puts("allocation start"); fflush(stdout); for (size_t i = 0; i < NR_POINTERS; ++i) { pointers[i] = malloc(NR_BYTES); memset(pointers[i], 'x', NR_BYTES); } puts("allocation end"); fflush(stdout); for (size_t i = 0; i < NR_POINTERS; ++i) free(pointers[i]); } return 0; } $ strace -c ./test % time seconds usecs/call calls errors syscall ------ ----------- ----------- --------- --------- ---------------- 72.72 0.002335 4 503 brk 20.06 0.000644 3 200 write 2.93 0.000094 11 8 mmap 0.97 0.000031 10 3 mprotect 0.69 0.000022 22 1 munmap 0.56 0.000018 6 3 fstat 0.31 0.000010 5 2 close 0.31 0.000010 5 2 pread64 0.28 0.000009 4 2 openat 0.19 0.000006 6 1 read 0.19 0.000006 6 1 prlimit64 0.19 0.000006 6 1 getrandom 0.16 0.000005 5 1 arch_prctl 0.16 0.000005 5 1 set_tid_address 0.16 0.000005 5 1 set_robust_list 0.16 0.000005 5 1 rseq 0.00 0.000000 0 1 1 access 0.00 0.000000 0 1 execve ------ ----------- ----------- --------- --------- ---------------- 100.00 0.003211 4 733 1 total Ой-ой, аллокатор почему-то делает brk(). Где же mmap()?
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Фшинг-атака на разработчиков пакетов на языке Rust"	+9 +/–
Сообщение от Фридрих (?), 13-Сен-25, 10:02
Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Голдер и Рита (?), 13-Сен-25, 10:05
	> Наконец взялись за этих павлинов Это еще цветочки, а ягодки впереди. 😏
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Аноним (64), 13-Сен-25, 16:50
	> Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны. А о каких "павлинах" речь? В Microsoft и других компаниях, топящих за Раст, вполне закономерно не юзают crates.io (и прочие публичные помойки для других языков) - у них своя локальная инфраструктура развернута.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	93. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
	Сообщение от Ананимус (?), 14-Сен-25, 14:01
	Пока что единственная атака, которая лишь по счастливой случайности не попала в дистрибутивы -- атака на сишный xz. Атаки на JS, Python и Rust заканчивались взломом какой-то библиотеки раскрашивания CLI, которую находили через неделю, чинили, и никаких серьезных последствий в итоге не было.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору

26. "Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
Сообщение от Аноним (26), 13-Сен-25, 10:35
Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, т.к. какие-то бабушки поймались.
Ответить \| Правка \| Наверх \| Cообщить модератору