crates.io 发现用户上传恶意软件
crates.io 安全团队在 8 月 16 日收到了 Phylum 的报告,称有用户上传了 9 个 typosquat crates,并含有恶意代码。 crates.io 团队立即将这些 crates 下架,并锁定了该用户的账号。在 8 月 18 日,crates.io 团队将这些 crates 从文件存储中完全删除。
这些 crates 包含恶意的 build.rs 文件,该文件会尝试将用户计算机的元数据(包括操作系统、IP 地址和基于 IP 地址的地理位置信息)发送到一个 Telegram 频道。其中一个 crates 的早期版本还包含了 PuTTY 安装程序,build.rs 文件会启动 PuTTY 而不是发送元数据到 Telegram。
crates.io 团队在收到报告后立即采取了以下措施:
下架 crates 并锁定用户账号。 分析了 crates 和用户的操作日志,并决定将 crates 从 static.crates.io 文件存储中完全删除,以防止进一步的攻击。 crates.io 团队没有发现任何证据表明这些 crates 被实际用户下载过。分析了下载请求的用户代理信息,发现只有自动扫描器和镜像服务下载了这些 crates。
该用户在 8 月 18 日前 30 天内没有进行任何其他操作(恶意或非恶意)。
Rust 基金会安全倡议计划对所有 crates 上传进行扫描,包括 typosquatting 和 crates 文件的实际内容。crates.io 团队将与基金会合作,在这些扫描程序准备好后进行部署。
使用 Rust 和 Geese 事件框架实现乒乓球游戏
Geese 是一个事件系统库,它允许用户通过构建依赖图来组合 actor。 Geese 可以用于构建任何规模的 Rust 项目。 本视频提供了使用 Geese 的简介,包括:
- 创建上下文
- 触发事件
- 定义事件系统
- 监听事件
- 声明和访问系统依赖项
使用 just 管理 Rust 项目命令
just 为您提供一种保存和运行项目特有命令的便捷方式。
本教程演示了如何使用 just工具来管理 Rust 的项目.
--
From 日报小组 FBI小白
社区学习交流平台订阅:
评论区
写评论还没有评论