Inside Rust Blog
·
crates.io 事件回顾:用户上传恶意软件
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
crates.io团队收到了Phylum的通知,有用户上传了九个恶意的crates,已被撤销并删除。这些crates包含恶意的build.rs文件,试图发送用户计算机的元数据。Rust基金会将扫描所有crate上传并实施扫描器。感谢Phylum的Louis Lang、Josh Stone和Rust基金会的Walter Pearce的帮助和支持。
🎯
关键要点
- crates.io团队于8月16日收到Phylum的通知,发现用户上传了九个恶意的crates。
- 这些crates包含恶意的build.rs文件,试图发送用户计算机的元数据。
- 相关用户账户已被锁定,crates于8月18日被完全删除。
- 其中一个crate版本包含PuTTY安装程序,可能是早期实验的结果。
- crates.io团队立即采取行动,撤回了这些crates并锁定了用户账户。
- 分析显示,这些crates明显是出于恶意目的制作的。
- 没有证据表明这些crates被实际用户下载,下载请求仅来自自动扫描和镜像行为。
- Rust基金会的安全计划将扫描所有crate上传,以防止typosquatting和恶意内容。
- 感谢Phylum的Louis Lang、Josh Stone和Rust基金会的Walter Pearce的支持和帮助。
➡️
