Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены четыре вредоносных пакета"	+/–
Сообщение от opennews (??), 08-Дек-25, 11:32
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64394
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+8 +/–
Сообщение от Аноним (1), 08-Дек-25, 11:32
Вирус должен быть безопасным. Чтобы уязвимость в вирусе не смогли использовать другие вирусы.
Ответить | Правка | Наверх | Cообщить модератору

	5. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Rust (??), 08-Дек-25, 11:50
	вирусы должны быть злыми и вредными для оправдания зловредности
	Ответить | Правка | Наверх | Cообщить модератору

	28. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 13:03
	Это относится к любым зловредам, а мы сейчас про безопастные зловреды.
	Ответить | Правка | Наверх | Cообщить модератору

2. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (-), 08-Дек-25, 11:43
> был загружен 7257 раз с апреля > был загружен 153 раз с ноября Мда... прям заслуживает отдельной новости на опеньке)))
Ответить | Правка | Наверх | Cообщить модератору

	3. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Аноним (3), 08-Дек-25, 11:47
	Да ваще, лучше молчать и скрывать такое, чтоб никто не подумал что в едином репозитарии языка для безопасной работы с памятью могут быть вирусы.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (12), 08-Дек-25, 12:14
	Лол, в едином репозитории дебиана был бекдор который скачали явно больше пары сотни неудачников. Просто есть новости которые касаются большинства, а есть "ненужные". Вот ты растом пользуешься? Я, например, нет.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (25), 08-Дек-25, 12:54
	Пункт 3 https://www.debian.org/social_contract
	Ответить | Правка | Наверх | Cообщить модератору

	31. Скрыто модератором	–1 +/–
	Сообщение от Фнон (-), 08-Дек-25, 13:07
	Пфффф, ссылаться на социальные контракты дебиллианов, после того как у них юзерский ввод. отправлялся прямиком в китай, это конечно сильно. Но хрустики тоже не скрывают blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/ Думаю основной вопрос, нафига такая минорная новость нужна. Растовиков это не переубедит, полоумные дыды позубоскалят, но на их мнение всем плевать.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (27), 08-Дек-25, 12:55
	> в едином репозитории дебиана был бекдор Это какой?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	13. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Витюшка (?), 08-Дек-25, 12:15
	А не в едином вирусов быть не может? Ну, по принципу "Я не вижу (закрыл глаза) - значит этого нет", наверное. Здесь хоть кто-то смотрит и как-то анализирует.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	29. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 13:04
	> Да ваще, лучше молчать и скрывать такое Где же это скрывают, если они прямо в официальном бложике написали blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/ Тут вопрос в другом - зачем ЭТО на опеннете? > языка для безопасной работы с памятью Отлично, что ты отметил именно этот момент. В языке написано что он защищает от вирусов? Что, нет? Ну так значит там вполне могут быть вирусы"
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	6. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (6), 08-Дек-25, 11:51
	И про то что через эти дырки украдены миллионы долларов и добавлены сотни тысяч новых участников боинетов лучше помолчать.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	8. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от ПомидорИзДолины (?), 08-Дек-25, 11:58
	Откуда дровишки? Нам нужны пруфы, Билли.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от нах. (?), 08-Дек-25, 12:20
	да ну тебе фантазировать. ОТКУДА у пейсателей на нескучном (с лефтпадами) возьмутся какие-то миллионы долларов? Ну нащщот ботнетов ты, наверное, не ошибся. Вот клаудшмрази-то понравится.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (17), 08-Дек-25, 12:24
	Возможно они просто работают? В отличии от подобных болтунов) >  Вот клаудшмрази-то понравится. Бомбит? Это хорошо.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (23), 08-Дек-25, 12:45
	Да как обычно, раст-хейтеры раздувают из мухи слона
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	40. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 13:18
	Да не, конечно же, это другое.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (24), 08-Дек-25, 12:51
	Проблема не в кол-ве скачиваний, а в системе карго.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	32. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 13:11
	Заслуживает! Люмая новость про Раст заслуживает.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от ПомидорИзДолины (?), 08-Дек-25, 11:57
Странно, что до сих пор никто ничего интересного в build.rs не положил. Там простор для творчества - огромный! Потом ещё с proc макросами можно будет поэкспериментировать %~]
Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (16), 08-Дек-25, 12:21
Это только начало. А то ли ещё будет...
Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

	43. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (43), 08-Дек-25, 13:36
	Речь о репозиториях пакетов всяких дистров.
	Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (21), 08-Дек-25, 12:37
Может, Rust просто сливают? Расписываться в некомпетентности и брать обратно всё наболтанное - некрасиво, зато обходным путём - вполне...
Ответить | Правка | Наверх | Cообщить модератору

	22. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Фнон (-), 08-Дек-25, 12:40
	А как это сольет раст? У больших игроков (гугля, мелкомягкие) есть свои крейты и свои репозитории. Я бы предположил что это повод к закручиванию гаек - введут обязательную верификацию аккаунтов, привяжут к номеру т̶е̶л̶е̶ф̶о̶н̶а̶ паспорта.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (24), 08-Дек-25, 13:06
	Это фича. Сначала делают "удобно", затем кричат безопасность в опасностЕ! В итоге по Интернет паспорту.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	36. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Фнон (-), 08-Дек-25, 13:14
	> Сначала делают "удобно", затем кричат безопасность в опасностЕ! Ну так всегда. Сначала делают как получилось, потом находят краевые случаи и подправляют. Примером море, например та же синька за рулем. Машины массово появились еще в начале 20 века, а в союзе наказание за запрет на вождение в нетрезвом виде ввели только в 50х. > В итоге по Интернет паспорту. Было бы неплохо. Некоторые паспорта так вообще нужно банить сразу.
	Ответить | Правка | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (26), 08-Дек-25, 12:54
пометили бы для обеспечения безопасности эти пакеты как unsafe.
Ответить | Правка | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Rev (ok), 08-Дек-25, 13:14
В случаях с JS/npm - это взлом кучи "разработчиков", и автоматическая заливка новых версий популярных пакетов со зловредом. В данном случае - это просто заливка злоумышленником новых пакетов. Разница огромна.
Ответить | Правка | Наверх | Cообщить модератору

37. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (28), 08-Дек-25, 13:16
Создаётся ощущение, что растoманы, в плане податливости социальной инженерии, податливее JSников будут.
Ответить | Правка | Наверх | Cообщить модератору

44. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от аноним2 (?), 08-Дек-25, 13:38
и это везде тянут, в ядро, в питон, всюду, причём собрать rust в изолированной среде уже нельзя, оно для сборки интернет требует, из которого загружает всякую малварь диалог с гопатым о сборке """ получается что с версии 1.81.0 https://github.com/rust-lang/rust/blob/1.81.0/src/tools/tidy... собрать полноценный rust из официального архива релиза практически невозможно. Да, по сути, ты правильно понял. 😅 Начиная с Rust 1.81, процесс сборки сильно ужесточили в части управления зависимостями: x.py и bootstrap Cargo теперь почти всегда используют --frozen для root-сборки, чтобы гарантировать воспроизводимость. Любые изменения в исходниках, патчи или локальные зависимости требуют, чтобы Cargo.lock точно соответствовал состоянию исходников, иначе сборка падает с ошибкой вроде: the lock file ... needs to be updated but --frozen was passed to prevent this При оффлайн-сборке это особенно болезненно, потому что обновить lock через cargo update без сети невозможно. ⚠️ Итог: собрать Rust из официального релиза без доступа к сети и без точного lock-файла, если есть локальные патчи, становится практически нереально. Фактически, это означает, что для воспроизводимой оффлайн-сборки: Нужно заранее подготовить все актуальные Cargo.lock для bootstrap, library и инструментов. Либо патчить x.py, чтобы убрать --frozen при оффлайн root-сборке — но это официально не поддерживается. """ нормальные программы можно собрать из исходников изолированно с помощью gcc, даже go, go1.4 -> go1.17 и тд, но не rust, это особая ржавчина в СПО
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема