Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от opennews (??), 25-Сен-25, 22:05
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и  async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63944
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 25-Сен-25, 22:08	+/–
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

3. Сообщение от Аноним (3), 25-Сен-25, 22:11	+5 +/–
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #9, #10, #22

4. Сообщение от Аноним (9), 25-Сен-25, 22:12	+3 +/–
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #27

5. Сообщение от Аноним (5), 25-Сен-25, 22:17	+3 +/–
> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил > пакет на вредоносный"? Вот где люди реально проверяют. Почему "не было"? https://www.opennet.dev/opennews/art.shtml?num=63677 > Пакет StarDict в Debian отправляет выделенный текст на внешние серверы > 04.08.2025 22:08 причем, не "перепутал", а включил осознанно. > Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. .
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7

6. Сообщение от Доктор Альба (?), 25-Сен-25, 22:20	+/–
Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 25-Сен-25, 22:32	–4 +/–
Твой пример под описанную ситуацию совсем не подходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #16, #21

8. Сообщение от Аноним (8), 25-Сен-25, 22:38	+/–
Рофлишь? Конечно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (9), 25-Сен-25, 22:38	+1 +/–
> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют. Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту. Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #11

10. Сообщение от Аноним (9), 25-Сен-25, 22:43	+/–
> и тд – свалка непроверенных библиотек И потом, к чему этот негатив если альтернатив нет в принципе никаких?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #13, #17, #18

11. Сообщение от Аноним (3), 25-Сен-25, 22:49	+/–
> Нет, не проверяют, и были случаи малвари в дебиане. Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню. А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #25, #30

12. Сообщение от Аноним (3), 25-Сен-25, 22:50	+/–
Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

13. Сообщение от Аноним (3), 25-Сен-25, 22:53	+/–
> если альтернатив нет в принципе никаких? Nixpkgs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #29

14. Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57	+1 +/–
эти придумают ещё более долбанутую нёх, можешь быть уверен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #19

16. Сообщение от Аноним (5), 25-Сен-25, 23:20	+3 +/–
>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. > Твой пример под описанную ситуацию совсем не подходит. Ну да, аутотренинг еще никто не отменял ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

17. Сообщение от Аноним (17), 25-Сен-25, 23:20	+8 +/–
NPM - да, помойка! Aur - да, свалка! Pypi - да, ещё одна помойка! Rust-репозиторий - к чему этот негатив?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #26

18. Сообщение от Аноним (18), 25-Сен-25, 23:21	–2 +/–
>если альтернатив нет в принципе никаких? В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность. Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

19. Сообщение от нах. (?), 25-Сен-25, 23:33	+/–
присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО! (тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

21. Сообщение от Аноним (21), 25-Сен-25, 23:39	+4 +/–
Ну да конечно, вы не понимаете это другое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

22. Сообщение от Аноним (21), 25-Сен-25, 23:41	+1 +/–
Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #31

23. Сообщение от Аноним (18), 25-Сен-25, 23:52	+/–
Для минимизации рисков в Rust рекомендуется: ◇ Использовать только известные и проверенные крейты. ◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit. ◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36, #42, #57

25. Сообщение от Аноним (25), 25-Сен-25, 23:59	+1 +/–
> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают. > А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало. Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (25), 26-Сен-25, 00:02	–3 +/–
Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #44, #46

27. Сообщение от Аноним (21), 26-Сен-25, 00:02	+/–
От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #35

29. Сообщение от Аноним (25), 26-Сен-25, 00:06	+/–
В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #32

30. Сообщение от Аноним (3), 26-Сен-25, 00:36	+1 +/–
> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git. Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

31. Сообщение от Аноним (3), 26-Сен-25, 00:37	+/–
> Каждые полгода такие новости появляются. Назовите, пожалуйста, две за прошедший год?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #52

32. Сообщение от Аноним (3), 26-Сен-25, 00:38	+/–
> В каком месте это альтернатива Пакетов больше, чем в aur. > и в каком месте это менее помойка? А я разве говорил обратное?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

34. Сообщение от Аноним (34), 26-Сен-25, 01:05	+2 +/–
Деды не зря тарболы публиковали на своих сайтах.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

35. Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34	–1 +/–
> не быть дурачком алё, речь про раст
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

36. Сообщение от Аноним (3), 26-Сен-25, 02:26	–1 +/–
Что будете делать, если популярный crate использует такую зависимость?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #47

39. Сообщение от Аноним (-), 26-Сен-25, 04:31	+1 +/–
XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #43

40. Сообщение от 0xdeadbee (-), 26-Сен-25, 05:06	+/–
> faster_log вместо fast_log а чего мелочиться. "superfastest_log" и все дела. практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.
Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от Аноним (44), 26-Сен-25, 05:39	–1 +/–
БизапасТный вриданосТный пакет.
Ответить | Правка | Наверх | Cообщить модератору

42. Сообщение от Аноним (44), 26-Сен-25, 05:46	–2 +/–
😂 😂 🤪 Ужос! Как будта прачол рекомендации ФТЭК России.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #54

43. Сообщение от Аноним (44), 26-Сен-25, 05:47    Скрыто ботом-модератором	+/–
Салага тычо дидов заставляешь краснеть. А ну марш отсюда!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

44. Сообщение от Аноним (44), 26-Сен-25, 05:48    Скрыто ботом-модератором	+/–
Да замочи ты этого остроумца.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

45. Сообщение от Аноним (45), 26-Сен-25, 06:22	+/–
Две проблемы у проекта: 1. Уязвимость архитектуры (взято худшее от аналогов). 2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты. Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

46. Сообщение от Аноним (46), 26-Сен-25, 07:32	+/–
Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

47. Сообщение от Прохожий (??), 26-Сен-25, 07:37	+/–
Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

48. Сообщение от Аноним (48), 26-Сен-25, 07:40	–1 +/–
разве может быть такое в самом безопасном языке, куда смотрел компилятор, поди unsafe были, но никто не обратил внимания.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

49. Сообщение от Прохожий (??), 26-Сен-25, 07:42	+/–
1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей. 2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #55

50. Сообщение от Прохожий (??), 26-Сен-25, 07:46	+/–
Язык программирования не может гарантировать безопасность от подобного рода вредоносных действий. А его безопасность связана с типовыми ошибками при работе с памятью, а не вообще со всеми на свете классами ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #56

51. Сообщение от Аноним (51), 26-Сен-25, 07:48	+/–
Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53

52. Сообщение от Прохожий (??), 26-Сен-25, 07:51	+/–
Оно? 1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий. 2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

53. Сообщение от Прохожий (??), 26-Сен-25, 07:54	+/–
Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

54. Сообщение от Прохожий (??), 26-Сен-25, 08:00	+/–
Что там ужасного? Эти меры ведь не являются обязательными.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

55. Сообщение от Аноним (45), 26-Сен-25, 08:13    Скрыто ботом-модератором	+/–
1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов. 2. Модератор удалил ссылку на securitylab. Google Вам в помощь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

56. Сообщение от Голдер и Рита (?), 26-Сен-25, 08:26	+/–
> Язык программирования не может гарантировать безопасность > от подобного рода вредоносных действий Golang может! Там такой фигни нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от Аноним (57), 26-Сен-25, 09:19    Скрыто ботом-модератором	+/–
При Си такой фигни не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема