Rust Blog
·
crates.io:恶意crate finch-rust 和 sha-rust
内容提要
2023年12月5日,crates.io团队发现两个恶意crate试图混淆finch crate,相关用户已被禁用,恶意crate被删除,文件保留以供分析。感谢Socket威胁研究团队的Kush Pandya。
关键要点
-
2023年12月5日,crates.io团队发现两个恶意crate试图混淆finch crate。
-
恶意crate添加了一个依赖,进行数据外泄。
-
相关用户face-lessssss已被禁用,恶意crate被删除。
-
恶意crate文件已保留以供进一步分析。
-
删除操作于12月5日15:52 UTC进行。
-
相关的GitHub仓库已被报告并删除。
-
Socket团队已在博客中发布了对这些crate的分析。
-
这些crate没有下游依赖,且没有证据表明它们被下载。
-
感谢Socket威胁研究团队的Kush Pandya的报告,以及crates.io团队的Carol Nichols和Rust基金会的Adam Harvey的支持。
延伸解读
恶意crate的潜在影响
此次事件中,恶意crate通过添加依赖进行数据外泄,虽然没有证据表明这些crate被广泛下载,但仍然提醒开发者在使用第三方库时需谨慎,确保库的来源可信。
社区响应的重要性
crates.io团队和Socket威胁研究团队的快速反应展示了开源社区在面对安全威胁时的协作能力。及时报告和处理恶意软件是保护开发者和用户的重要措施。
对开发者的警示
开发者在选择依赖时应关注库的维护情况和社区反馈,避免使用不明来源的crate,以降低潜在的安全风险。定期检查项目依赖也是一种良好的安全实践。
延伸问答
crates.io发现了哪些恶意crate?
crates.io发现了finch-rust和sha-rust两个恶意crate。
这些恶意crate的目的是什么?
这些恶意crate试图通过添加依赖进行数据外泄。
crates.io团队对恶意crate采取了什么措施?
相关用户被禁用,恶意crate被删除,文件保留以供分析。
恶意crate的删除时间是什么时候?
恶意crate的删除操作于2023年12月5日15:52 UTC进行。
这些恶意crate是否被下载过?
没有证据表明这两个crate被下载,除了自动化镜像和扫描服务。
谁报告了这些恶意crate?
Kush Pandya来自Socket威胁研究团队报告了这些恶意crate。
