Inside Rust Blog
·
crates.io 事件回顾:用户上传恶意软件
原文英文,约500词,阅读约需2分钟。
📝
内容提要
crates.io团队收到了Phylum的通知,有用户上传了九个恶意的crates,已被撤销并删除。这些crates包含恶意的build.rs文件,试图发送用户计算机的元数据。Rust基金会将扫描所有crate上传并实施扫描器。感谢Phylum的Louis Lang、Josh Stone和Rust基金会的Walter Pearce的帮助和支持。
🎯
关键要点
-
crates.io团队于8月16日收到Phylum的通知,发现用户上传了九个恶意的crates。
-
这些crates包含恶意的build.rs文件,试图发送用户计算机的元数据。
-
相关用户账户已被锁定,crates于8月18日被完全删除。
-
其中一个crate版本包含PuTTY安装程序,可能是早期实验的结果。
-
crates.io团队立即采取行动,撤回了这些crates并锁定了用户账户。
-
分析显示,这些crates明显是出于恶意目的制作的。
-
没有证据表明这些crates被实际用户下载,下载请求仅来自自动扫描和镜像行为。
-
Rust基金会的安全计划将扫描所有crate上传,以防止typosquatting和恶意内容。
-
感谢Phylum的Louis Lang、Josh Stone和Rust基金会的Walter Pearce的支持和帮助。
🏷️
