В Rust-репозитории crates.io выявлены четыре вредоносных пакета

08.12.2025 10:59

Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код.

Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был загружен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version() и приводил к загрузке внешнего кода по ссылке "https://download[.]videotalks[.]xyz/gui/6dad3/...". В Linux и macOS загружался и запускался скрипт init, а в Windows - init.ps1.

Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал код для поиска и отправки на внешний сервер конфиденциальных данных. Пакет finch-rust включал оригинальный код из пакета finch, в который был добавлен вызов функции "sha_rust::from_str()", при выполнении которой выполнялся обфусцированный обработчик, отправляющий на сервер "https://rust-docs-build[.]vercel[.]app/api/v1" информацию о системе, переменные окружения, а также содержимое config.toml, id.json и файлов с расширением ".env" (например, production.env, staging.env и dev.env с токенами доступа).

25 ноября в crates.io также был размещён пакет finch-rust, использующий sha-rust в качестве зависимости и созданный для тайпсквоттинг-атаки на пользователей легитимного пакета finch, рассчитывая, что пользователь не обратит внимание на отличие в названии, найдя пакет через поиск или выбрав из списка.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64394-crates

Ключевые слова: crates, rust

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (22)

1.1, Аноним (1), 11:32, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+8 +/–
Вирус должен быть безопасным. Чтобы уязвимость в вирусе не смогли использовать другие вирусы.

2.5, Rust (??), 11:50, 08/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
вирусы должны быть злыми и вредными для оправдания зловредности

1.2, Аноним (-), 11:43, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> был загружен 7257 раз

с апреля

> был загружен 153 раз

с ноября

Мда... прям заслуживает отдельной новости на опеньке)))

2.3, Аноним (3), 11:47, 08/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Да ваще, лучше молчать и скрывать такое, чтоб никто не подумал что в едином репозитарии языка для безопасной работы с памятью могут быть вирусы.

3.12, Аноним (12), 12:14, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
Лол, в едином репозитории дебиана был бекдор который скачали явно больше пары сотни неудачников. Просто есть новости которые касаются большинства, а есть "ненужные". Вот ты растом пользуешься? Я, например, нет.

3.13, Витюшка (?), 12:15, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
А не в едином вирусов быть не может? Ну, по принципу "Я не вижу (закрыл глаза) - значит этого нет", наверное. Здесь хоть кто-то смотрит и как-то анализирует.

2.6, Аноним (6), 11:51, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
И про то что через эти дырки украдены миллионы долларов и добавлены сотни тысяч новых участников боинетов лучше помолчать.

3.8, ПомидорИзДолины (?), 11:58, 08/12/2025 [^] [^^] [^^^] [ответить]	+1 +/–
Откуда дровишки? Нам нужны пруфы, Билли.

3.15, нах. (?), 12:20, 08/12/2025 [^] [^^] [^^^] [ответить]

+/–

да ну тебе фантазировать. ОТКУДА у пейсателей на нескучном (с лефтпадами) возьмутся какие-то миллионы долларов?

Ну нащщот ботнетов ты, наверное, не ошибся. Вот клаудшмрази-то понравится.

4.17, Аноним (17), 12:24, 08/12/2025 Скрыто ботом-модератором [к модератору]	+/–

2.23, Аноним (23), 12:45, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
Да как обычно, раст-хейтеры раздувают из мухи слона

1.4, Аноним (6), 11:49, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Главное не выйти на то что Раст сам по себе вредоносный язык.

2.14, Аноним (14), 12:19, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
Откуда столько зависти и желчи? В С++ "репозитории", а именно, в реестры пакетов (библиотек) С++ никто не загружает вирусы? Потому-что С++ реестры пакетов нафиг никому не нужны! Rust священный, Грэйдон Хор благословенный!

3.20, Аноним (17), 12:35, 08/12/2025 Скрыто ботом-модератором [к модератору]	+/–

1.7, ПомидорИзДолины (?), 11:57, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Странно, что до сих пор никто ничего интересного в build.rs не положил. Там простор для творчества - огромный! Потом ещё с proc макросами можно будет поэкспериментировать %~]

1.9, Ilnarildarovuch (?), 12:02, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Базовый rust и базовое rust community :)

1.10, ryoken (ok), 12:04, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"Шо?..Опять?" "Д, Б!" (с) С. Лавров

1.16, Аноним (16), 12:21, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Это только начало. А то ли ещё будет...

1.18, 12yoexpert (ok), 12:24, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
я обещал ржать - я буду ржать. axaxaxaxa

1.19, 12yoexpert (ok), 12:27, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
и это ждёт любую помойку для веб-синьоров

1.21, Аноним (21), 12:37, 08/12/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Может, Rust просто сливают? Расписываться в некомпетентности и брать обратно всё наболтанное - некрасиво, зато обходным путём - вполне...

2.22, Фнон (-), 12:40, 08/12/2025 [^] [^^] [^^^] [ответить]	+/–
А как это сольет раст? У больших игроков (гугля, мелкомягкие) есть свои крейты и свои репозитории. Я бы предположил что это повод к закручиванию гаек - введут обязательную верификацию аккаунтов, привяжут к номеру т̶е̶л̶е̶ф̶о̶н̶а̶ паспорта.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: