Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от opennews (??), 25-Сен-25, 22:05
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и  async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63944
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (2), 25-Сен-25, 22:08
В репо Оверхед к пакетам сканирует (триггеры, процедуры инсталляции и проверки таргет-платформы)?
Ответить | Правка | Наверх | Cообщить модератору

	8. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (8), 25-Сен-25, 22:38
	Рофлишь? Конечно нет.
	Ответить | Правка | Наверх | Cообщить модератору

3. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+5 +/–
Сообщение от Аноним (3), 25-Сен-25, 22:11
Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют.
Ответить | Правка | Наверх | Cообщить модератору

	5. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (5), 25-Сен-25, 22:17
	> Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил > пакет на вредоносный"? Вот где люди реально проверяют. Почему "не было"? https://www.opennet.me/opennews/art.shtml?num=63677 > Пакет StarDict в Debian отправляет выделенный текст на внешние серверы > 04.08.2025 22:08 причем, не "перепутал", а включил осознанно. > Примечательно, что в 2009 году аналогичное поведение в StarDict было признано уязвимостью (CVE-2009-2260) и обращение к сетевым словарям было отключено по умолчанию. .
	Ответить | Правка | Наверх | Cообщить модератору

	7. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–4 +/–
	Сообщение от Аноним (7), 25-Сен-25, 22:32
	Твой пример под описанную ситуацию совсем не подходит.
	Ответить | Правка | Наверх | Cообщить модератору

	16. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
	Сообщение от Аноним (5), 25-Сен-25, 23:20
	>> приложение отправляет автоматически помещаемый в буфер обмена выделенный текст (x11 PRIMARY selection) на внешние серверы. Достаточно в любом приложении выделить отрывок текста, и он сразу отправляется без шифрования по протоколу HTTP на китайские серверы online-словарей dict.youdao.com и dict.cn. > Твой пример под описанную ситуацию совсем не подходит. Ну да, аутотренинг еще никто не отменял ...
	Ответить | Правка | Наверх | Cообщить модератору

	21. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+4 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:39
	Ну да конечно, вы не понимаете это другое
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	9. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (9), 25-Сен-25, 22:38
	> Так все эти crates, pypi и тд – свалка непроверенных библиотек. Как aur. Не удостоверился что включаешь – сам виноват. > Почему не было ещё новости по типу "ментейнер дебиана перепутал и заменил пакет на вредоносный"? Вот где люди реально проверяют. Нет, не проверяют, и были случаи малвари в дебиане. Конечно же, courated репозитории это _обязательный_ фактор, но на деле в код-то никто не смотрит, потому что это 100x нагрузки которую никакой мантейнер себе позволить не может. Обновляют версию, проверяют сборку и вперёд. Разница только в том что не придёт левый человек и не закоммитит явную левоту. Для коллекций модулей такое, вообще, тоже можно реализовать - пусть потребители крейтов тегают их релизы как подтверждённые по мере возможностей, а cargo не обновляется по умолчанию на неподтвержденные версии. Это хорошо масштабируется - у популярных крейтов миллионы установок. Но нужна глобальная система доверия, чтобы крейты не подтверждали левые или безответственные люди. Хоть со входом по паспорту, хоть в виде peer2peer, хоть по выслуге лет и порогом контрибутинга в свободные проекты. Такого сейчас нет ни в каком виде.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	11. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:49
	> Нет, не проверяют, и были случаи малвари в дебиане. Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Ещё раз: я про случаи как в новости – когда перепутал откуда брать исходники. Такого в дебиане не припомню. А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (25), 25-Сен-25, 23:59
	> Нет, не было таких случаев. Я говорю конкретно про ошибку с подменой. А не когда конуретно внутри официальной реализации поместили бекдор, как в случае с xz. Так с чем ты споришь? Я ровно про это написал - только от тайпсквоттинга репозитории с модерацией и спасают. > А ещё дебиан у себя хранит в deb-src. Можно воспроизвести и перепроверить то ли попало. Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (3), 26-Сен-25, 00:36
	> Ничего уникального - все "помойки", в т.ч. crates, хранят истории и артефакты. Ответ неверный. Копии исходников они не хранят и никогда не хранили. Ссылка на коммит в git – это не копия исходников, а ссылка на git. Копия исходников – это когда копия вообще всех зависимостей для сборки, а не ссылка на коммит и ссылка на коммиты зависимостей.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

	10. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (9), 25-Сен-25, 22:43
	> и тд – свалка непроверенных библиотек И потом, к чему этот негатив если альтернатив нет в принципе никаких?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	12. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:50
	Это факт, а не негатив. Свалка есть свалка. Она полезна, если ты перепроверяешь.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 25-Сен-25, 22:53
	> если альтернатив нет в принципе никаких? Nixpkgs.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	29. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (25), 26-Сен-25, 00:06
	В каком месте это альтернатива, и в каком месте это менее помойка? Репозитории модулей туда импортируются балком, без какого-либо аудита вовсе. Да и для того что туда добавляется руками тоже аудита никакого - посмотри сколько там васянских дериваций нужных только чтобы их локалхосты настраивать.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:38
	> В каком месте это альтернатива Пакетов больше, чем в aur. > и в каком месте это менее помойка? А я разве говорил обратное?
	Ответить | Правка | Наверх | Cообщить модератору

	17. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+8 +/–
	Сообщение от Аноним (17), 25-Сен-25, 23:20
	NPM - да, помойка! Aur - да, свалка! Pypi - да, ещё одна помойка! Rust-репозиторий - к чему этот негатив?
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	26. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–3 +/–
	Сообщение от Аноним (25), 26-Сен-25, 00:02
	Я думаю бесполезно у тебя, балабола, просить ссылки где я как-то иначе писал о других пакетных репозиториях.
	Ответить | Правка | Наверх | Cообщить модератору

	44. Скрыто модератором	+/–
	Сообщение от Аноним (44), 26-Сен-25, 05:48
	Да замочи ты этого остроумца.
	Ответить | Правка | Наверх | Cообщить модератору

	46. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (46), 26-Сен-25, 07:32
	Дай лучше ссылку, где ты о других репозиториях писал "к чему этот негатив?".
	Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

	18. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–2 +/–
	Сообщение от Аноним (18), 25-Сен-25, 23:21
	>если альтернатив нет в принципе никаких? В принципе есть. Из бесплатных репозитариев - МосХаб, проверяет проекты на безопасность. Из коммерческих - конвейеры безопасной разработки программных продуктов и сервисов https://www.tadviser.ru/index.php/Продукт:Ростелеком_и_ИСП_РАН:_Конвейеры_безопасной_разработки_программных_продуктов_и_сервисов
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	22. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (21), 25-Сен-25, 23:41
	Смеешься? Каждые полгода такие новости появляются. Любая репа - это потенциальная угроза. Любая. Даже там, где люди на зарплате проверяют есть ненулевая вероятность
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	31. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (3), 26-Сен-25, 00:37
	> Каждые полгода такие новости появляются. Назовите, пожалуйста, две за прошедший год?
	Ответить | Правка | Наверх | Cообщить модератору

	52. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:51
	Оно? 1.В апреле 2025 года исследователи из ReversingLabs обнаружили две вредоносные Python-библиотеки — bitcoinlibdbfix и bitcoinlib-dev, которые маскировались под исправления популярной криптовалютной библиотеки bitcoinlib. Эти пакеты пытались украсть чувствительные данные, перезаписывая легитимную команду и пытаясь добыть конфиденциальные базы данных. Обе библиотеки были удалены из PyPI после обнаружения злоумышленных действий. 2. В сентябре 2025 года зафиксирована вспышка заражения более 500 популярных npm-библиотек вредоносным червём Shai-Hulud, который распространялся самостоятельно. Среди заражённых были библиотеки компании CrowdStrike и @ctrl/tinycolor, скачиваемая более 2 миллионов раз в неделю. Этот вредоносный код создавал угрозу утечки приватных репозиториев и исходного кода пользователей
	Ответить | Правка | Наверх | Cообщить модератору

4. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+3 +/–
Сообщение от Аноним (9), 25-Сен-25, 22:12
Надеюсь хоть эти-то не будут вводить ересь типа 2FA, которая от тайпсквоттинга не спасает никак. Впрочем, если и введут, второй фактор всё равно выложу у себя в README.md, потому что нехрен.
Ответить | Правка | Наверх | Cообщить модератору

	14. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от 12yoexpert (ok), 25-Сен-25, 22:57
	эти придумают ещё более долбанутую нёх, можешь быть уверен
	Ответить | Правка | Наверх | Cообщить модератору

	19. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от нах. (?), 25-Сен-25, 23:33
	присоединяюсь. Уж у этих-то точно будет БЕЗОПАСТНО! (тем более их пользуемые от них уж точно никуда не денутся, если тебя нет в crates, тебя вообще нет. Жабаскриптерам-то не привыкать тянуть в рот всякую пакость прямо с шитхаба и шитляпа.)
	Ответить | Правка | Наверх | Cообщить модератору

	27. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Аноним (21), 26-Сен-25, 00:02
	От этого спасает только не быть дурачком и использовать высоко энтропийные уникальные пароли. То есть проблема видимо не исчезнет никогда
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	35. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
	Сообщение от 12yoexpert (ok), 26-Сен-25, 01:34
	> не быть дурачком алё, речь про раст
	Ответить | Правка | Наверх | Cообщить модератору

6. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Доктор Альба (?), 25-Сен-25, 22:20
Сейчас много подобных атак. Например, вредоносные NPM пакеты нацеленные на криптокошельки.
Ответить | Правка | Наверх | Cообщить модератору

23. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (18), 25-Сен-25, 23:52
Для минимизации рисков в Rust рекомендуется: ◇ Использовать только известные и проверенные крейты. ◇ Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit. ◇ Фиксировать версии в Cargo.lock и избегать автоматических обновлений без ревью.
Ответить | Правка | Наверх | Cообщить модератору

	36. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
	Сообщение от Аноним (3), 26-Сен-25, 02:26
	Что будете делать, если популярный crate использует такую зависимость?
	Ответить | Правка | Наверх | Cообщить модератору

	47. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:37
	Вам же написали: "Регулярно проверять зависимости на известные уязвимости с помощью cargo-audit
	Ответить | Правка | Наверх | Cообщить модератору

	42. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–2 +/–
	Сообщение от Аноним (44), 26-Сен-25, 05:46
	😂 😂 🤪 Ужос! Как будта прачол рекомендации ФТЭК России.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	54. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 08:00
	Что там ужасного? Эти меры ведь не являются обязательными.
	Ответить | Правка | Наверх | Cообщить модератору

	57. Скрыто модератором	+/–
	Сообщение от Аноним (57), 26-Сен-25, 09:19
	При Си такой фигни не было.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

34. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+2 +/–
Сообщение от Аноним (34), 26-Сен-25, 01:05
Деды не зря тарболы публиковали на своих сайтах.
Ответить | Правка | Наверх | Cообщить модератору

	39. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+1 +/–
	Сообщение от Аноним (-), 26-Сен-25, 04:31
	XZ-бэкдор раздавался как раз в тарболе, в самом репозитории всё было чисто.
	Ответить | Правка | Наверх | Cообщить модератору

	43. Скрыто модератором	+/–
	Сообщение от Аноним (44), 26-Сен-25, 05:47
	Салага тычо дидов заставляешь краснеть. А ну марш отсюда!
	Ответить | Правка | Наверх | Cообщить модератору

40. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от 0xdeadbee (-), 26-Сен-25, 05:06
> faster_log вместо fast_log а чего мелочиться. "superfastest_log" и все дела. практически "ускоритель Интернета", ньюфаги не знают, олдфаги не помнят.
Ответить | Правка | Наверх | Cообщить модератору

41. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
Сообщение от Аноним (44), 26-Сен-25, 05:39
БизапасТный вриданосТный пакет.
Ответить | Правка | Наверх | Cообщить модератору

45. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (45), 26-Сен-25, 06:22
Две проблемы у проекта: 1. Уязвимость архитектуры (взято худшее от аналогов). 2. Проблемы с оплатой инфраструктуры - обсуждается введение оплаты. Выводы каждый может сделать сам - нужно ли вкладывать ресурсы.
Ответить | Правка | Наверх | Cообщить модератору

	49. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:42
	1. Не могли бы вы более детально раскрыть своё утверждение по поводу плохой архитектуры? Заодно приведите, пожалуйста, пример хорошей. 2. Ссылку можете дать на обсуждение (если оно, конечно, не приснилось вам)?
	Ответить | Правка | Наверх | Cообщить модератору

	55. Скрыто модератором	+/–
	Сообщение от Аноним (45), 26-Сен-25, 08:13
	1. Все, использующие не контролируемые разработчиком репозитории для сборки проектов. 2. Модератор удалил ссылку на securitylab. Google Вам в помощь.
	Ответить | Правка | Наверх | Cообщить модератору

48. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	–1 +/–
Сообщение от Аноним (48), 26-Сен-25, 07:40
разве может быть такое в самом безопасном языке, куда смотрел компилятор, поди unsafe были, но никто не обратил внимания.
Ответить | Правка | Наверх | Cообщить модератору

	50. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:46
	Язык программирования не может гарантировать безопасность от подобного рода вредоносных действий. А его безопасность связана с типовыми ошибками при работе с памятью, а не вообще со всеми на свете классами ошибок.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Голдер и Рита (?), 26-Сен-25, 08:26
	> Язык программирования не может гарантировать безопасность > от подобного рода вредоносных действий Golang может! Там такой фигни нет.
	Ответить | Правка | Наверх | Cообщить модератору

51. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
Сообщение от Аноним (51), 26-Сен-25, 07:48
Вот потому все тулзы с репозиториями идут лесом. В Hyperbola не зря их запретили на корню.
Ответить | Правка | Наверх | Cообщить модератору

	53. "В Rust-репозитории crates.io выявлены два вредоносных пакета"	+/–
	Сообщение от Прохожий (??), 26-Сен-25, 07:54
	Вам никто не запрещает использовать исключительно локальные репозитарии, закрыв доступ к публичным.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема