forum.opennet.ru - "В Rust-репозитории crates.io выявлены два вредоносных пакета" (85)

"В Rust-репозитории crates.io выявлены два вредоносных пакета"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от opennews (??), 25-Сен-25, 22:05
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63944
Ответить \| Правка \| Cообщить модератору

Оглавление

В репо Оверхед к пакетам сканирует триггеры, процедуры инсталляции и проверки т, Аноним (2), 22:08 , 25-Сен-25, (2)

Рофлишь Конечно нет , Аноним (8), 22:38 , 25-Сен-25, (8)

Раст же безопасный язык, разве на нём можно написать небезопасный код , Аноним (94), 15:23 , 26-Сен-25, (94) +2

Безопасная вредоносная вставка Это про ржавые пакеты из топика, а не про ржавый, Аноним (109), 18:48 , 26-Сен-25, (109)

Так все эти crates, pypi и тд 8211 свалка непроверенных библиотек Как aur Н, Аноним (3), 22:11 , 25-Сен-25, (3) +9

Почему не было https www opennet ru opennews art shtml num 63677причем, не , Аноним (5), 22:17 , 25-Сен-25, (5) +7

Твой пример под описанную ситуацию совсем не подходит , Аноним (7), 22:32 , 25-Сен-25, (7) –9

Ну да, аутотренинг еще никто не отменял , Аноним (5), 23:20 , 25-Сен-25, (16) +6
Ну да конечно, вы не понимаете это другое, Аноним (21), 23:39 , 25-Сен-25, (21) +5
Пomoйка , Аноним (109), 18:50 , 26-Сен-25, (111)

Нет, не проверяют, и были случаи малвари в дебиане Конечно же, courated репозит, Аноним (9), 22:38 , 25-Сен-25, (9) +3

Нет, не было таких случаев Я говорю конкретно про ошибку с подменой А не когда, Аноним (3), 22:49 , 25-Сен-25, (11)

Так с чем ты споришь Я ровно про это написал - только от тайпсквоттинга репозит, Аноним (25), 23:59 , 25-Сен-25, (25) +1

Явно видно, что вы не понимаете о чем речь А она о том что почти все пакеты деби, Аноним (72), 12:30 , 26-Сен-25, (72)

Ответ неверный Копии исходников они не хранят и никогда не хранили Ссылка на к, Аноним (3), 00:36 , 26-Сен-25, (30) +3

МГИМО финишд , Аноним (114), 20:41 , 26-Сен-25, (114)

И потом, к чему этот негатив если альтернатив нет в принципе никаких , Аноним (9), 22:43 , 25-Сен-25, (10)

Это факт, а не негатив Свалка есть свалка Она полезна, если ты перепроверяешь , Аноним (3), 22:50 , 25-Сен-25, (12) +3
Nixpkgs , Аноним (3), 22:53 , 25-Сен-25, (13)

В каком месте это альтернатива, и в каком месте это менее помойка Репозитории м, Аноним (25), 00:06 , 26-Сен-25, (29)

Пакетов больше, чем в aur А я разве говорил обратное , Аноним (3), 00:38 , 26-Сен-25, (32)

Но работающих пакетов меньше , Аноним (109), 18:52 , 26-Сен-25, (112)

NPM - да, помойка Aur - да, свалка Pypi - да, ещё одна помойка Rust-репозиторий , Аноним (17), 23:20 , 25-Сен-25, (17) +15

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о д, Аноним (25), 00:02 , 26-Сен-25, (26) –4

Дай лучше ссылку, где ты о других репозиториях писал к чему этот негатив , Аноним (46), 07:32 , 26-Сен-25, (46)

В принципе есть Из бесплатных репозитариев - МосХаб, проверяет проекты на безоп, Аноним (18), 23:21 , 25-Сен-25, (18) –4

Смеешься Каждые полгода такие новости появляются Любая репа - это потенциальна, Аноним (21), 23:41 , 25-Сен-25, (22) +1

Назовите, пожалуйста, две за прошедший год , Аноним (3), 00:37 , 26-Сен-25, (31)

Оно 1 В апреле 2025 года исследователи из ReversingLabs обнаружили две вредонос, Прохожий (??), 07:51 , 26-Сен-25, (52)

И при чём здесь debian Речь шла про его репозитории Про pypi и схожие и так вс, Аноним (64), 10:57 , 26-Сен-25, (64)

Надо вводить ветки crate io Stable, Testing, Experimental То же самое для PyPI , Соль земли2 (?), 09:58 , 26-Сен-25, (59) +1
И что, сильно там в твоем дебиане напрверяли бэкдор в xz https www opennet ru , Аноним (61), 10:47 , 26-Сен-25, (61) +1

Вы в упор не видите о чём я Перечитайте новость, подумайте ещё раз А про бекдо, Аноним (64), 10:58 , 26-Сен-25, (65)

Вижу конечно о свалке непроверенных библиотек и в репе Дебиана проверяют А, Аноним (61), 12:20 , 26-Сен-25, (71)

Вам расшифровать что такое Debian sid unstable Сюда вываливают для проверок Про, Аноним (72), 12:34 , 26-Сен-25, (73) –1

Не сочиняй В Дебиане ничего не проверили и не отловили Проблему выловил сотруд, Аноним (61), 12:55 , 26-Сен-25, (78)

Ну и В Debian попало , Аноним (72), 13:11 , 26-Сен-25, (79)

Ты совсем тугой Что не ясно в словах успели попасть в состав Debian sid И, Аноним (-), 13:19 , 26-Сен-25, (83)

Бино До тебя долго доходит Сид - это сид Он и нужен для выявления проблем , Аноним (72), 13:25 , 26-Сен-25, (84) +1

Но проблему не выявили в Дебиане Более того, бэкдор запрсто оказался бы в stabl, Аноним (61), 14:06 , 26-Сен-25, (85)

Если бы у бабушки были Пока это только ваши фантазии Реальность далека от н, Аноним (72), 14:26 , 26-Сен-25, (90)
Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки , Аноним (92), 15:03 , 26-Сен-25, (92)

Началось Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтоб, Аноним (77), 12:40 , 26-Сен-25, (77)
Зачем мелочиться на пакеты, вредить бэкдорить, - так корневом уровне Если заб, OpenEcho (?), 14:28 , 26-Сен-25, (91)
Патаму , что нормальные языки программирования1 Имеют международный стандарт 2 , Arlezoner (?), 17:32 , 26-Сен-25, (104) +2

Это какие Зачем Разработчики копиляторов им просто подотрутся и или реализуют т, Аноним (-), 19:03 , 26-Сен-25, (113)

ментейнер дебиана перепутал и свёл до околонуля энтропию в openssl но ты тогда, Анонисссм (?), 18:39 , 26-Сен-25, (108)
Конечно репозитории дебиана безопасны, ведь в них почти ничего нет , Аноним (110), 18:49 , 26-Сен-25, (110)

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга н, Аноним (9), 22:12 , 25-Сен-25, (4) +4

эти придумают ещё более долбанутую нёх, можешь быть уверен, 12yoexpert (ok), 22:57 , 25-Сен-25, (14) +4

присоединяюсь Уж у этих-то точно будет БЕЗОПАСТНО тем более их пользуемые от н, нах. (?), 23:33 , 25-Сен-25, (19)

Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных все, Аноним (61), 10:49 , 26-Сен-25, (62) +1

Перепись тех, кто говорил смотрите, вот это очень плохо пахнущее Некто обнару, Аноним (72), 12:37 , 26-Сен-25, (74)

Типа ХЗ библиотеки Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу p, Аноним (-), 13:16 , 26-Сен-25, (81)

Типа использования зависимостей не из системы, а с непойми чего Нет ни одной пом, Аноним (72), 13:19 , 26-Сен-25, (82)

а мы теперь - просто ржем Чуть не вляпался , ага-ага , нах. (?), 16:20 , 26-Сен-25, (99)

Ну так это единственное что вы можете Ага, сидя по уши в том самом не вляпался , Аноним (100), 16:30 , 26-Сен-25, (100)

От этого спасает только не быть дурачком и использовать высоко энтропийные уника, Аноним (21), 00:02 , 26-Сен-25, (27)

алё, речь про раст, 12yoexpert (ok), 01:34 , 26-Сен-25, (35) +1

Они раст придумали , Аноним (94), 15:27 , 26-Сен-25, (95)

Сейчас много подобных атак Например, вредоносные NPM пакеты нацеленные на крипт, Доктор Альба (?), 22:20 , 25-Сен-25, (6)
Для минимизации рисков в Rust рекомендуется 9671 Использовать только известны, Аноним (18), 23:52 , 25-Сен-25, (23) +2

Что будете делать, если популярный crate использует такую зависимость , Аноним (3), 02:26 , 26-Сен-25, (36)

Вам же написали Регулярно проверять зависимости на известные уязвимости с помо, Прохожий (??), 07:37 , 26-Сен-25, (47)

Не спасёт, очевидно, от того, что в новости , Аноним (64), 11:02 , 26-Сен-25, (66)

128514 128514 129322 Ужос Как будта прачол рекомендации ФТЭК России , Аноним (42), 05:46 , 26-Сен-25, (42) –3

Что там ужасного Эти меры ведь не являются обязательными , Прохожий (??), 08:00 , 26-Сен-25, (54)

Деды не зря тарболы публиковали на своих сайтах , Аноним (34), 01:05 , 26-Сен-25, (34) +2

XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто , Аноним (-), 04:31 , 26-Сен-25, (39) +1

Но тарбол на сайте самого xz был чист Github - очередной репозиторий , Аноним (97), 15:54 , 26-Сен-25, (97)

а чего мелочиться superfastest_log и все дела практически ускоритель Интерне, 0xdeadbee (-), 05:06 , 26-Сен-25, (40) +1

Забыл как эмпэтришки через флешгет качал , Аноним (58), 09:24 , 26-Сен-25, (58)

Две проблемы у проекта 1 Уязвимость архитектуры взято худшее от аналогов 2 П, Аноним (45), 06:22 , 26-Сен-25, (45)

1 Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архи, Прохожий (??), 07:42 , 26-Сен-25, (49) +1

1 Все, использующие не контролируемые разработчиком репозитории для сборки прое, Аноним (45), 08:13 , 26-Сен-25, (55) –1

Вот потому все тулзы с репозиториями идут лесом В Hyperbola не зря их запретили, Аноним (51), 07:48 , 26-Сен-25, (51) +2

Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв , Прохожий (??), 07:54 , 26-Сен-25, (53)

Даже если сделать так, после развертывания вредоносы прилетят с обновлениями Ва, Аноним (45), 10:21 , 26-Сен-25, (60)

Само ничего никуда не летает Не хочешь обновляться - не обновляйся Автоматичес, Аноним (70), 12:15 , 26-Сен-25, (70)

Архитектура задает культуру разработки И тут она никакая , Аноним (72), 12:39 , 26-Сен-25, (76)

вот бы там еще блютуз работал, Аноним (87), 14:10 , 26-Сен-25, (87)

И это толко начало А то ли ещё будет 8230 , Аноним (68), 11:48 , 26-Сен-25, (68)

Для чего было придумано, то и происходит , asd (??), 13:15 , 26-Сен-25, (80) +1

А чего там за код Еще код посмотреть можно А то вирусы и прочее тоже надо посмо, Аноним (96), 15:36 , 26-Сен-25, (96)
Кто-то уже говорил это Р3ШЕТО , Аноним (107), 18:31 , 26-Сен-25, (107)

Сообщения [Сортировка по времени | RSS]

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (2), 25-Сен-25, 22:08

В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?

Ответить | Правка | Наверх | Cообщить модератору

8. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (8), 25-Сен-25, 22:38

Рофлишь? Конечно нет.

Ответить | Правка | Наверх | Cообщить модератору

94. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (94), 26-Сен-25, 15:23

Раст же безопасный язык, разве на нём можно написать небезопасный код?

Ответить | Правка | Наверх | Cообщить модератору

109. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (109), 26-Сен-25, 18:48

Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..

Ответить | Правка | Наверх | Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +9 +/–

Сообщение от Аноним (3), 25-Сен-25, 22:11

Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.

Ответить | Правка | Наверх | Cообщить модератору

5. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +7 +/–

Сообщение от Аноним (5), 25-Сен-25, 22:17

> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил
> пакет на вредоносный"? Вот где люди реально проверяют.
Почему "не было"?
https://www.opennet.dev/opennews/art.shtml?num=63677
> Пакет StarDict в Debian отправляет выделенный текст на внешние серверы
> 04.08.2025 22:08
причем, не "перепутал", а включил осознанно.
> Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию.
.

Ответить | Правка | Наверх | Cообщить модератору

7. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –9 +/–

Сообщение от Аноним (7), 25-Сен-25, 22:32

Твой пример под описанную ситуацию совсем не подходит.

Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +6 +/–

Сообщение от Аноним (5), 25-Сен-25, 23:20

>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn.
> Твой пример под описанную ситуацию совсем не подходит.
Ну да, аутотренинг еще никто не отменял ...

Ответить | Правка | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +5 +/–

Сообщение от Аноним (21), 25-Сен-25, 23:39

Ну да конечно, вы не понимаете это другое

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

111. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (109), 26-Сен-25, 18:50

Пomoйка!

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

9. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:38

> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват.
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту.
Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

11. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:49

> Нет, не проверяют, и были случаи малвари в дебиане.
Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню.
А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.

Ответить | Правка | Наверх | Cообщить модератору

25. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (25), 25-Сен-25, 23:59

> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz.
Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают.
> А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.

Ответить | Правка | Наверх | Cообщить модератору

72. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:30

> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Явно видно, что вы не понимаете о чем речь.
А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.

Ответить | Правка | Наверх | Cообщить модератору

30. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (3), 26-Сен-25, 00:36

> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git.
Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

114. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (114), 26-Сен-25, 20:41

> courated
МГИМО финишд?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (9), 25-Сен-25, 22:43

> и тд – свалка непроверенных библиотек
И потом, к чему этот негатив если альтернатив нет в принципе никаких?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +3 +/–

Сообщение от Аноним (3), 25-Сен-25, 22:50

Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.

Ответить | Правка | Наверх | Cообщить модератору

13. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 25-Сен-25, 22:53

> если альтернатив нет в принципе никаких?
Nixpkgs.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

29. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (25), 26-Сен-25, 00:06

В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.

Ответить | Правка | Наверх | Cообщить модератору

32. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:38

> В каком месте это альтернатива
Пакетов больше, чем в aur.
> и в каком месте это менее помойка?
А я разве говорил обратное?

Ответить | Правка | Наверх | Cообщить модератору

112. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (109), 26-Сен-25, 18:52

Но работающих пакетов меньше.

Ответить | Правка | Наверх | Cообщить модератору

17. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +15 +/–

Сообщение от Аноним (17), 25-Сен-25, 23:20

NPM - да, помойка!
Aur - да, свалка!
Pypi - да, ещё одна помойка!
Rust-репозиторий - к чему этот негатив?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –4 +/–

Сообщение от Аноним (25), 26-Сен-25, 00:02

Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.

Ответить | Правка | Наверх | Cообщить модератору

46. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (46), 26-Сен-25, 07:32

Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".

Ответить | Правка | Наверх | Cообщить модератору

18. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –4 +/–

Сообщение от Аноним (18), 25-Сен-25, 23:21

>если альтернатив нет в принципе никаких?
В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность.
Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

22. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (21), 25-Сен-25, 23:41

Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

31. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 00:37

> Каждые полгода такие новости появляются.
Назовите, пожалуйста, две за прошедший год?

Ответить | Правка | Наверх | Cообщить модератору

52. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:51

Оно?
1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий.
2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей

Ответить | Правка | Наверх | Cообщить модератору

64. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 10:57

И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.

Ответить | Правка | Наверх | Cообщить модератору

59. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Соль земли2 (?), 26-Сен-25, 09:58

Надо вводить ветки crate.io Stable, Testing, Experimental. То же самое для PyPI и NPM.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

61. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (61), 26-Сен-25, 10:47

> Так все эти crates, pypi и тд – свалка непроверенных библиотек.
> дебиана
> Вот где люди реально проверяют
И что, сильно там в твоем дебиане напрверяли бэкдор в xz?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
https://www.opennet.dev/opennews/art.shtml?num=60877
Ой, что-то плохо проверяли, получается. 😭

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

65. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 10:58

Вы в упор не видите о чём я? Перечитайте новость, подумайте ещё раз. А про бекдор в xz в курсе и без вас был.

Ответить | Правка | Наверх | Cообщить модератору

71. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 12:20

> Вы в упор не видите о чём я?
Вижу конечно: о "свалке непроверенных библиотек" и "в репе Дебиана проверяют". А теперь еще вижу и танцы "вы меня не так поняли 😭".

Ответить | Правка | Наверх | Cообщить модератору

73. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (72), 26-Сен-25, 12:34

Вам расшифровать что такое Debian sid/unstable?
Сюда вываливают для проверок. Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

78. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 12:55

> Проверили. Отловили проблему. В Debian это не попало. Кто еще так делает?
Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.

Ответить | Правка | Наверх | Cообщить модератору

79. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 13:11

> Не сочиняй. В Дебиане ничего не проверили и не отловили. Проблему выловил сотрудник Microsoft, который заметил странную нагрузку на CPU во время бенчмарков.
Ну и? В Debian попало?

Ответить | Правка | Наверх | Cообщить модератору

83. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 26-Сен-25, 13:19

Ты совсем тугой?
> Бэкдор присутствовал в официальных выпусках xz 5.6.0 и 5.6.1 [...] которые успели попасть в состав [...] Debian sid/unstable
Что не ясно в словах "успели попасть в состав ... Debian sid" ?
Или Сид уже не Дебиан))?

Ответить | Правка | Наверх | Cообщить модератору

84. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (72), 26-Сен-25, 13:25

Бино! До тебя долго доходит.
Сид - это сид. Он и нужен для выявления проблем.

Ответить | Правка | Наверх | Cообщить модератору

85. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (61), 26-Сен-25, 14:06

> Он и нужен для выявления проблем.
Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.
Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.

Ответить | Правка | Наверх | Cообщить модератору

90. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 14:26

> Но проблему не выявили в Дебиане. Более того, бэкдор запрсто оказался бы в stable, если бы чел из МС обнаружил его до релиза.
Если бы у бабушки были ....
> Что непонятного? Ваше "crates и т.п. - помойки, а вот репа Дебиана - это другое" немного не соответствует действительности.
Пока это только ваши фантазии. Реальность далека от них. Во всех помойках проблемы. Тот кто затачивает архитектуру разработки под помойки - будет иметь проблемы всегда.
Раст затачивает архитектуру разработки под помойку.

Ответить | Правка | Наверх | Cообщить модератору

92. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (92), 26-Сен-25, 15:03

Емнип в debian этот xz бекдор не мог сработать из-за особенностей сборки.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

77. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (77), 26-Сен-25, 12:40

Началось. Это скайнет создал Раст, чтобы загрузить туда вредоносные пакеты, чтобы поработить человечество.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

91. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от OpenEcho (?), 26-Сен-25, 14:28

> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Зачем мелочиться на пакеты, вредить/бэкдорить, - так корневом уровне :) Если забыли, то это про константный сид в генераторе случайности, который присутсвовал ну не простительно долго

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

104. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Arlezoner (?), 26-Сен-25, 17:32

Патаму , что нормальные языки программирования
1) Имеют международный стандарт.
2) Имеют несколько реализаций от различных организаций
3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
У Rust c первыми двумя пунктами пока все кисло, а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь и надо прикладывать непрерывные усилия , чтобы от неё отвязаться, чтобы вот это все дерево зависимостей непрерывно проверять.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

113. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 26-Сен-25, 19:03

> Патаму , что нормальные языки программирования
Это какие?)
> 1) Имеют международный стандарт.
Зачем?
Разработчики копиляторов им просто подотрутся и/или реализуют только половину.
> 2) Имеют несколько реализаций от различных организаций
Зачем?
Чтобы потом один и тот же код по разному работал в зависимости от вендора компилятора, версии, фазы луны?
> 3) Стандартную библиотеку пишут, либо разработчики транслятора, либо её нет вовсе
Ага, а потом получаем парад велосипедов.
С крутыми багами "мы не сумели сделать сплит строки".
> У Rust c первыми двумя пунктами пока все кисло,
Но я ядро линуск его добавили)
> а по третьему стандартный сборочный инструментарий - скачивает из интернета вышеупомянутую малварь
Ничем не отличается от скачивания какой-то дырявой жлибц или libwebpp прям с хранилища пакетов дистрибутива.
Вон дебилианы пропихнули спайварь в пакет и что?

Ответить | Правка | Наверх | Cообщить модератору

108. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Анонисссм (?), 26-Сен-25, 18:39

>ментейнер дебиана перепутал и заменил пакет на вредоносный
"ментейнер дебиана перепутал" и свёл до околонуля энтропию в openssl.
но ты тогда ещё в школу ходил, поэтому считай не было )

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

110. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (110), 26-Сен-25, 18:49

>Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"?
Конечно репозитории дебиана безопасны, ведь в них почти ничего нет.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

4. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +4 +/–

Сообщение от Аноним (9), 25-Сен-25, 22:12

Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.

Ответить | Правка | Наверх | Cообщить модератору

14. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +4 +/–

Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57

эти придумают ещё более долбанутую нёх, можешь быть уверен

Ответить | Правка | Наверх | Cообщить модератору

19. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от нах. (?), 25-Сен-25, 23:33

присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО!
(тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)

Ответить | Правка | Наверх | Cообщить модератору

62. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (61), 26-Сен-25, 10:49

> 12yoexpert
> нах
> присоединяюсь
Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.

Ответить | Правка | Наверх | Cообщить модератору

74. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:37

> Традиционно, перепись экспертов, не пишущих на Расте - но очень обеспокоеных всем, что с ним связано.
Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Некто обнаружил что если наступить, то пахнет плохо.
И теперь они говорят, ну мы же вам говорили, что это очень плохо пахнущее...

Ответить | Правка | Наверх | Cообщить модератору

81. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (-), 26-Сен-25, 13:16

> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
Типа ХЗ библиотеки?
Если бы не мелкомягкие, то тысячи глаз так бы и видели фигу.
ps я уже молчу что на сайте кернела 2 года (ДЖВА года, Карл!) был бекдор.

Ответить | Правка | Наверх | Cообщить модератору

82. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 13:19

> Типа ХЗ библиотеки?
Типа использования зависимостей не из системы, а с непойми чего.
Нет ни одной помойки, где это бы не приводило к проблемам. И разработчики rust внедряют архитектуры разработки построенную на помойке.

Ответить | Правка | Наверх | Cообщить модератору

99. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от нах. (?), 26-Сен-25, 16:20

> Перепись тех, кто говорил: смотрите, вот это очень плохо пахнущее...
> Некто обнаружил что если наступить, то пахнет плохо.
а мы теперь - просто ржем. "Чуть не вляпался", ага-ага.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

100. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (100), 26-Сен-25, 16:30

> а мы теперь - просто ржем.
Ну так это единственное что вы можете)
> "Чуть не вляпался", ага-ага.
Ага, сидя по уши в том самом "не вляпался", получая ХЗ библиотеки из такой репо-помойки)

Ответить | Правка | Наверх | Cообщить модератору

27. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (21), 26-Сен-25, 00:02

От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34

> не быть дурачком
алё, речь про раст

Ответить | Правка | Наверх | Cообщить модератору

95. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (94), 26-Сен-25, 15:27

> Надеюсь хоть эти-то не будут вводить ересь
Они раст придумали...

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Доктор Альба (?), 25-Сен-25, 22:20

Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.

Ответить | Правка | Наверх | Cообщить модератору

23. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (18), 25-Сен-25, 23:52

Для минимизации рисков в Rust рекомендуется:
◇ Использовать только известные и проверенные крейты.
◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit.
◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.

Ответить | Правка | Наверх | Cообщить модератору

36. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (3), 26-Сен-25, 02:26

Что будете делать, если популярный crate использует такую зависимость?

Ответить | Правка | Наверх | Cообщить модератору

47. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:37

Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit

Ответить | Правка | Наверх | Cообщить модератору

66. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (64), 26-Сен-25, 11:02

Не спасёт, очевидно, от того, что в новости.

Ответить | Правка | Наверх | Cообщить модератору

42. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –3 +/–

Сообщение от Аноним (42), 26-Сен-25, 05:46

😂 😂 🤪 Ужос! Как будта прачол рекомендации ФТЭК России.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

54. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 08:00

Что там ужасного? Эти меры ведь не являются обязательными.

Ответить | Правка | Наверх | Cообщить модератору

34. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (34), 26-Сен-25, 01:05

Деды не зря тарболы публиковали на своих сайтах.

Ответить | Правка | Наверх | Cообщить модератору

39. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Аноним (-), 26-Сен-25, 04:31

XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.

Ответить | Правка | Наверх | Cообщить модератору

97. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (97), 26-Сен-25, 15:54

Но тарбол на сайте самого xz был чист. Github - очередной репозиторий.

Ответить | Правка | Наверх | Cообщить модератору

40. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от 0xdeadbee (-), 26-Сен-25, 05:06

> faster_log вместо fast_log
а чего мелочиться. "superfastest_log" и все дела.
практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.

Ответить | Правка | Наверх | Cообщить модератору

58. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (58), 26-Сен-25, 09:24

Забыл как эмпэтришки через флешгет качал?

Ответить | Правка | Наверх | Cообщить модератору

45. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (45), 26-Сен-25, 06:22

Две проблемы у проекта:
1. Уязвимость архитектуры (взято худшее от аналогов).
2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты.
Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.

Ответить | Правка | Наверх | Cообщить модератору

49. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:42

1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей.
2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?

Ответить | Правка | Наверх | Cообщить модератору

55. "В Rust-репозитории crates.io выявлены два вредоносных пакета" –1 +/–

Сообщение от Аноним (45), 26-Сен-25, 08:13

1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов.
2. Модератор удалил ссылку на securitylab. Google Вам в помощь.

Ответить | Правка | Наверх | Cообщить модератору

51. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +2 +/–

Сообщение от Аноним (51), 26-Сен-25, 07:48

Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.

Ответить | Правка | Наверх | Cообщить модератору

53. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Прохожий (??), 26-Сен-25, 07:54

Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.

Ответить | Правка | Наверх | Cообщить модератору

60. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (45), 26-Сен-25, 10:21

Даже если сделать так, после развертывания вредоносы прилетят с обновлениями. Вам уже три человека выше помимо самой новости доказали ущербность такой архитектуры, а Вы всё упорствуете, как будто вложились в сабж. Видимо, так и есть.

Ответить | Правка | Наверх | Cообщить модератору

70. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (70), 26-Сен-25, 12:15

Само ничего никуда не летает. Не хочешь обновляться - не обновляйся. Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.

Ответить | Правка | Наверх | Cообщить модератору

76. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (72), 26-Сен-25, 12:39

> Автоматическое скачивание зависимостей - для тех, кто хочет обновляться, но не хочет руками каждый пакет качать.
Архитектура задает культуру разработки. И тут она никакая.

Ответить | Правка | Наверх | Cообщить модератору

87. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (87), 26-Сен-25, 14:10

вот бы там еще блютуз работал

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

68. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (68), 26-Сен-25, 11:48

И это толко начало! А то ли ещё будет…

Ответить | Правка | Наверх | Cообщить модератору

80. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +1 +/–

Сообщение от asd (??), 26-Сен-25, 13:15

Для чего было придумано, то и происходит..

Ответить | Правка | Наверх | Cообщить модератору

96. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (96), 26-Сен-25, 15:36

А чего там за код? Еще код посмотреть можно?
А то вирусы и прочее тоже надо посмотреть как писать на Rust.
Интеерсно же...

Ответить | Правка | Наверх | Cообщить модератору

107. "В Rust-репозитории crates.io выявлены два вредоносных пакета" +/–

Сообщение от Аноним (107), 26-Сен-25, 18:31

Кто-то уже говорил это?
Р3ШЕТО!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (2), 25-Сен-25, 22:08
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (8), 25-Сен-25, 22:38
	Рофлишь? Конечно нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
	Сообщение от Аноним (94), 26-Сен-25, 15:23
	Раст же безопасный язык, разве на нём можно написать небезопасный код?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	109. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (109), 26-Сен-25, 18:48
	Безопасная вредоносная вставка. Это про ржавые пакеты из топика, а не про ржавый язык. Хотя.. Погодите-ка!..
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+9 +/–
Сообщение от Аноним (3), 25-Сен-25, 22:11
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+7 +/–
	Сообщение от Аноним (5), 25-Сен-25, 22:17
	> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил > пакет на вредоносный"? Вот где люди реально проверяют. Почему "не было"? https://www.opennet.dev/opennews/art.shtml?num=63677 > Пакет StarDict в Debian отправляет выделенный текст на внешние серверы > 04.08.2025 22:08 причем, не "перепутал", а включил осознанно. > Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. .
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–9 +/–
	Сообщение от Аноним (7), 25-Сен-25, 22:32
	Твой пример под описанную ситуацию совсем не подходит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+6 +/–
	Сообщение от Аноним (5), 25-Сен-25, 23:20
	>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. > Твой пример под описанную ситуацию совсем не подходит. Ну да, аутотренинг еще никто не отменял ...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+5 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:39
	Ну да конечно, вы не понимаете это другое
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	111. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (109), 26-Сен-25, 18:50
	Пomoйка!
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	9. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (9), 25-Сен-25, 22:38
	> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют. Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту. Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	11. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:49
	> Нет, не проверяют, и были случаи малвари в дебиане. Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню. А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (25), 25-Сен-25, 23:59
	> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают. > А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало. Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (72), 26-Сен-25, 12:30
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Явно видно, что вы не понимаете о чем речь. А она о том что почти все пакеты дебиан имеют повторяемую сборку. Когда из пакета исходников собирается пакет ПОБАЙТОВО совподающий с тем, что на сервере.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (3), 26-Сен-25, 00:36
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git. Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	114. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (114), 26-Сен-25, 20:41
	> courated МГИМО финишд?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	10. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (9), 25-Сен-25, 22:43
	> и тд – свалка непроверенных библиотек И потом, к чему этот негатив если альтернатив нет в принципе никаких?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (3), 25-Сен-25, 22:50
	Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:53
	> если альтернатив нет в принципе никаких? Nixpkgs.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	29. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (25), 26-Сен-25, 00:06
	В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:38
	> В каком месте это альтернатива Пакетов больше, чем в aur. > и в каком месте это менее помойка? А я разве говорил обратное?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	112. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (109), 26-Сен-25, 18:52
	Но работающих пакетов меньше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+15 +/–
	Сообщение от Аноним (17), 25-Сен-25, 23:20
	NPM - да, помойка! Aur - да, свалка! Pypi - да, ещё одна помойка! Rust-репозиторий - к чему этот негатив?
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	26. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–4 +/–
	Сообщение от Аноним (25), 26-Сен-25, 00:02
	Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (46), 26-Сен-25, 07:32
	Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–4 +/–
	Сообщение от Аноним (18), 25-Сен-25, 23:21
	>если альтернатив нет в принципе никаких? В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность. Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	22. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:41
	Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	31. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:37
	> Каждые полгода такие новости появляются. Назовите, пожалуйста, две за прошедший год?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:51
	Оно? 1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий. 2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (64), 26-Сен-25, 10:57
	И при чём здесь debian? Речь шла про его репозитории. Про pypi и схожие и так всё понятно.
	Ответить \| Правка \| Наверх \| Cообщить модератору