TrapDoor 跨生态供应链攻击曝光

Socket 安全研究人员披露了一起名为 TrapDoor 的大规模供应链攻击活动，影响范围横跨 npm、PyPI 和 Crates.io 三大软件包生态。

事件要点

• 波及范围很广：已识别出 34 个以上恶意软件包，以及 384+ 个相关版本与工件
• Rust 生态也在范围内：Crates.io 侧的攻击主要借助恶意 build.rs 脚本实施
• 主要攻击目标：加密货币、DeFi、Solana、Sui、Move、AI/机器学习相关开发者
• 重点窃取内容：SSH 密钥、加密钱包、AWS 凭证、GitHub 令牌、浏览器配置、环境变量与本地开发配置

传播与持久化方式

• npm 包通过 postinstall 执行共享恶意载荷
• PyPI 包在导入时拉取并执行远程 JavaScript
• 攻击者还会植入 .cursorrules、CLAUDE.md、Git hook、Shell hook、systemd 服务、cron 任务与 SSH 配置等持久化后门

这次事件再次提醒 Rust 开发者：即便使用的是 crates.io，也不能忽视供应链安全，尤其要留意构建脚本、依赖来源与本地开发环境中的异常文件。

原文链接：https://socket.dev/blog/trapdoor-crypto-stealer-npm-pypi-crates

CubeCL 0.20.0 发布：跨平台内核框架重大更新

CubeCL 0.20.0 正式发布。这一版本继续强化“单一代码库覆盖多种硬件后端”的路线，重点放在 CPU 运行时重构、自动调优和 GPU 高级特性的补齐上。

这次更新值得关注的点

• CPU 后端大改：重写 CPU 实现，引入更完整的延迟执行系统与多流能力
• 内核融合补齐：补上早期版本缺失的 kernel fusion 支持
• 性能持续拉升：通过缓存对齐、内存访问优化和自动调优，在部分场景里表现优于 libtorch
• GPU 能力增强：新增 TMA 与 inline PTX 等能力，进一步逼近现代硬件上限
• 保持可移植性：同一套优化思路尽量在 GPU 与 CPU 之间保持一致

对于做高性能计算、推理框架或异构后端抽象的 Rust 开发者来说，这个版本的演进方向相当值得跟进。

原文链接：https://www.reddit.com/r/rust/comments/1tn7waw/cubecl_0200_is_here_crossplatform_kernels_for/

snarf：Rust 结构体缓存行伪共享检测工具

snarf 是一个面向 Rust 的结构体缓存行伪共享检测工具，用来发现原子字段或其他竞争字段是否落在同一缓存行上，从而提前暴露潜在的性能陷阱。

工具亮点

• 聚焦伪共享问题：可识别 Atomic*、Cell、RefCell、UnsafeCell 等字段与其他字段共享缓存行的情况
• 支持递归检测：像 Option<AtomicU64>、Arc<Mutex<AtomicU64>> 这类嵌套场景也能覆盖
• 输出方式灵活：支持普通输出、JSON、GitHub Actions 注释等格式
• 适合接入 CI：可配合 --warn-only、--strict 等参数按团队需求使用

使用方式

• 安装：cargo install cargo-snarf
• 运行：cargo snarf
• 目前需要 nightly Rust，以便读取精确的类型大小与字段偏移信息

这是个很实用的小工具，尤其适合并发密集型项目做结构体布局自检。

原文链接：https://github.com/cong-or/snarf

AIRE：用于交互式应用的实时音频引擎

作者在业余时间开发 2D 游戏时，因为现有音频库无法满足需求，索性自己做了一个面向交互式应用的实时音频引擎 AIRE。

当前能力

• 多格式支持：可播放 WAV、OGG、FLAC 和 MP3
• 流式播放：支持从磁盘流式读取大型音频文件
• 实时控制：可在运行时调节音量、声像以及暂停 / 恢复 / 停止播放
• 合成能力：内置多种带限振荡器波形，并支持 ADSR 包络
• 线程友好：与音频线程之间采用无锁通信方式

后续方向

作者希望它未来不只是“播放声音”，而是能进一步理解运行环境，先补齐基础的 2D 空间音频，再逐步探索更动态的声学效果与混响能力。

原文链接：https://github.com/Breijen/aire

--

From 日报小组 Mike

社区学习交流平台订阅：

• Rustcc论坛: 支持rss
• 微信公众号：Rust语言中文社区