【Rust日报】2023-09-04 crates.io 发现用户上传恶意软件

最新推荐文章于 2024-09-10 16:23:25 发布
最新推荐文章于 2024-09-10 16:23:25 发布
阅读量130 收藏
点赞数
文章标签: rust 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012067469/article/details/132703231
版权

crates.io 发现用户上传恶意软件

crates.io 安全团队在 8 月 16 日收到了 Phylum 的报告,称有用户上传了 9 个 typosquat crates,并含有恶意代码。 crates.io 团队立即将这些 crates 下架,并锁定了该用户的账号。在 8 月 18 日,crates.io 团队将这些 crates 从文件存储中完全删除。

这些 crates 包含恶意的 build.rs 文件,该文件会尝试将用户计算机的元数据(包括操作系统、IP 地址和基于 IP 地址的地理位置信息)发送到一个 Telegram 频道。其中一个 crates 的早期版本还包含了 PuTTY 安装程序,build.rs 文件会启动 PuTTY 而不是发送元数据到 Telegram。

crates.io 团队在收到报告后立即采取了以下措施:

下架 crates 并锁定用户账号。 分析了 crates 和用户的操作日志,并决定将 crates 从 static.crates.io 文件存储中完全删除,以防止进一步的攻击。 crates.io 团队没有发现任何证据表明这些 crates 被实际用户下载过。分析了下载请求的用户代理信息,发现只有自动扫描器和镜像服务下载了这些 crates。

该用户在 8 月 18 日前 30 天内没有进行任何其他操作(恶意或非恶意)。

Rust 基金会安全倡议计划对所有 crates 上传进行扫描,包括 typosquatting 和 crates 文件的实际内容。crates.io 团队将与基金会合作,在这些扫描程序准备好后进行部署。

原文链接: https://blog.rust-lang.org/inside-rust/2023/09/01/crates-io-malware-postmorte

最低0.47元/天 解锁文章
Rust语言中文社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cargo-download:直接从 crates.io 下载 crate 的 Cargo 子命令
05-30
cargo-download可用于下载给定 crate 的 gzip 压缩档案,其格式与上传crates.io 的格式完全相同。 这对很多事情都很有用,例如: 在源代码管理中检查您的依赖项(如果您的团队/组织遵循此做法) 镜像crates.io...
staging.crates.io-index:staging.crates.io的注册表索引
02-26
标题中的"staging.crates.io-index"指的是Rust编程语言的包管理器Cargo的一个特定组件。Cargo是Rust生态系统中的核心部分,它负责管理和构建Rust项目中的依赖关系。Crates.ioRust官方的软件包仓库,类似于Java的...
crates.io-mirror:用于创建crates.io静态镜像的Python脚本。 与货运兼容,并显示非常基本HTML页面
05-02
crates.ioRust编程语言的包管理系统,它存储和分发被称为"板条箱"(crates)的开源库。这个脚本的目的是在离线环境下或者网络访问受限的环境中提供对crates.io的访问,它通过下载并缓存crates.io上的所有数据,...
advisory-db:通过crates.io发布的Rust装箱的安全咨询数据库
02-05
`advisory-db`项目就是为了帮助开发者应对这些挑战,它是一个通过crates.io发布的Rust安全咨询数据库。 首先,让我们深入了解`advisory-db`。这个项目旨在收集、整理和分发关于Rust生态系统的安全信息。它包含了对...
crate-deps —为crates.io上托管的包装箱生成依赖关系图的图像-Rust开发
05-27
使用以下库完全在Rust中构建:tiny-http rust-crates-index用法要使用,请确保您的crate:至少具有一个依赖项上载到crates.io。然后,要生成图像,只需转到:https:/ /crate-deps.herokuapp.com/ 示例tiny_...
Rust 程序设计语言学习——面向对象
洪伟的专栏
09-10 849
面向对象编程(Object-Oriented Programming,OOP)是一种对程序进行建模方式。对象(Object)作为一个编程概念来源于 20 世纪 60 年代的 Simula 编程语言。这些对象影响了 Alan Kay 的编程架构,该架构中对象之间互相传递消息。他在 1967 年创造了面向对象编程 (object-oriented programming)这个术语。关于 OOP 是什么有很多相互矛盾的定义;在一些定义下,Rust 是面向对象的;在其他定义下,Rust 不是。
Apache DataFusion查询引擎简介
HULK一线技术杂谈
09-09 719
01简介DataFusion是一个查询引擎,其本身不具备存储数据的能力。正因为不依赖底层存储的格式,使其成为了一个灵活可扩展的查询引擎。它原生支持了查询CSV,Parquet,Avro,Json等存储格式,也支持了本地,AWS S3,Azure Blob Storage,Google Cloud Storage等多种数据源。同时还提供了丰富的扩展接口,可以方便的让我们接入自定义的数据格式和数据源。...
python脚本源码如何使用PyOxidizer编译Windows可执行文件
weixin_34979095的博客
09-06 1396
如果你确定自己了解正在进行的操作并且不打算使用 Visual Studio 安装 C++ 构建工具,或者你将针对 GNU ABI 进行开发,你可以选择继续安装 Rust 而不安装 C++ 构建工具。如果在后续的使用中出现问题,可以根据提示去查看具体的不兼容情况并进行相应的处理。例如,如果你的项目有其他依赖项,可能需要在配置文件中进行相应的设置,或者确保这些依赖项在编译环境中可用。如果你想对安装进行自定义设置,可以选择选项 2,然后根据提示进行进一步的配置选择,比如选择不同的工具链、主机架构、安装路径等。
Rust使用之【宏】
taynpg的博客
09-07 542
如果有一个自定义的结构体,正常println!是并不支持打印任意内容的,这时可以自己实现一个例如to_string的方法将自己的结构体转成Stringage: u32,age: 30,println!quote!format!("{}: {:?});#()*result有点类似cpp的宏定义,cpp的宏定义就是单纯的字符串替换,Rust虽说本质上也是单纯的字符串替换,但是Rust
【北京迅为】《STM32MP157开发板使用手册》- 第二十章 Trusted Firmware-A 移植+第二十一章 U-Boot移植
最新发布
BeiJingXunWei的博客
09-10 1384
首先烧写进去的名为otg-uboot.stm32的用途为辅助STM32CubeProgram烧写,而第二个名为emmc_uboot.stm32或tf_uboot.stm32为我们最终emmc或者TF卡启动所要用到的uboot,这个uboot我们稍后会添加一些环境变量,对此进行一些修改,所以最终的uboot源码编译出的镜像会失去辅助STM32CubeProgram烧写的功能,但对于我们自身并没有影响,我们真正需要的只是最终烧写到EMMC或者TF卡的uboot。具体的展示可以去第二章进行具体的查看。
Rust 变量基础知识
HHX_01的博客
09-10 917
Rust 中,变量隐藏(shadowing)指的是重新声明一个与之前变量同名的新变量。这个新变量会遮盖(或隐藏)之前声明的同名变量。在后续代码中,使用的将是新的变量,而不是之前的变量。
搭建Windows下的Rust开发环境
brucexia的专栏
09-10 942
下载下来的文件是codelldb-x86_64-windows.vsix,如果不想下载,也可以在somesofts文件夹下找到,然后打开VS Code,单击左侧工具栏上的Extensions按钮,然后把文件codelldb-x86_64-windows.vsix拖入VS Code的Extensions页下的空白处,稍等片刻,VS Code右下角会提示安装完成。其中,文件Cargo.lock也是工具Cargo的元配置文件,它包含依赖的精确描述信息,它是由Cargo自行维护的,因此不需要手动修改。
存储课程学习笔记5_iouring的练习(io_uring,rust_echo_bench,fio
yun6853992的博客
09-10 976
1:实际上主要用liburing库对io_uring的使用进行测试。2:使用新的开源库,实际上从库中对应的example中开始进行逻辑分析是最合理的。3:io_uring 高效异步IO方案,可以用于磁盘,数据库,大规模io处理,网络等方向(这里以作为tcp server测试)。4:可以用开源库rust_echo_bench 对服务器性能进行测试。5:可以用fio对磁盘读写性能进行测试。
Github 2024-09-07Rust开源项目日报Top10
老孙正经胡说
09-07 717
根据Github Trendings的统计,今日(2024-09-07统计)共有10个项目上榜。
Rust>egui学习之部件(十一):如何在窗口中添加单选框radiobutton部件?
用沸腾的热血,支付我们的人生吧!
09-06 763
本专栏是关于Rust的GUI库egui的部件讲解及应用实例分析,主要讲解egui的源代码、部件属性、如何应用。
Rust练习】12.枚举
矢车菊二十七号
09-08 695
练习题来自:https://practice-zh.course.rs/compound-types/enum.html。
pgrx在docker中问题无法解决
wangmarkqi的博客
09-06 382
所以奉劝后来者,注意rust给pg写拓展,不要在docker搞,我觉得有可能是我的extension访问了网络(没有之前无问题),但是这个我的应用无法避免。至于为什么,我查了很多,比如docker版本问题blablabla,都不重要了,按照所有建议的方法都没有解决.算了,老老实实本地安装postgresql,然后cargo pgrx install,一切都省心,不折腾了.
5本学习Rust顶级书籍
极道Jdon的技术博客
09-05 578
如果您是一名软件工程师,并且有使用现有编译语言的经验,或者您一直在努力将对 Rust 语法的基本理解转化为可运行的程序,那么本书就是为您准备的。通过关注 Rust 与其他编译语言之间的概念差异,并提供程序员可以轻松遵循的具体建议, Effective Rust 很快就会让您编写出流畅的 Rust,而不仅仅是翻译得很差的 C++。《Rust 编程语言》第 2 版是 Rust 2021 的官方指南:Rust 是一种开源系统编程语言,可帮助您编写更快、更可靠的软件。出版日期:2021 年 7 月 20 日。
Rust 中的关键字及示例
guoqkmiss的博客
09-05 506
【代码】Rust 中的关键字及示例。
error: failed to fetch `https://github.com/rust-lang/crates.io-index`
03-30
This error message indicates that there was a problem fetching the crates.io index from the GitHub repository. There could be several reasons for this error, including network connectivity issues, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值