crates.io 发现用户上传恶意软件
crates.io 安全团队在 8 月 16 日收到了 Phylum 的报告,称有用户上传了 9 个 typosquat crates,并含有恶意代码。 crates.io 团队立即将这些 crates 下架,并锁定了该用户的账号。在 8 月 18 日,crates.io 团队将这些 crates 从文件存储中完全删除。
这些 crates 包含恶意的 build.rs 文件,该文件会尝试将用户计算机的元数据(包括操作系统、IP 地址和基于 IP 地址的地理位置信息)发送到一个 Telegram 频道。其中一个 crates 的早期版本还包含了 PuTTY 安装程序,build.rs 文件会启动 PuTTY 而不是发送元数据到 Telegram。
crates.io 团队在收到报告后立即采取了以下措施:
下架 crates 并锁定用户账号。 分析了 crates 和用户的操作日志,并决定将 crates 从 static.crates.io 文件存储中完全删除,以防止进一步的攻击。 crates.io 团队没有发现任何证据表明这些 crates 被实际用户下载过。分析了下载请求的用户代理信息,发现只有自动扫描器和镜像服务下载了这些 crates。
该用户在 8 月 18 日前 30 天内没有进行任何其他操作(恶意或非恶意)。
Rust 基金会安全倡议计划对所有 crates 上传进行扫描,包括 typosquatting 和 crates 文件的实际内容。crates.io 团队将与基金会合作,在这些扫描程序准备好后进行部署。
原文链接: https://blog.rust-lang.org/inside-rust/2023/09/01/crates-io-malware-postmortem.html
使用 Rust 和 Geese 事件框架实现乒乓球游戏
Geese 是一个事件系统库,它允许用户通过构建依赖图来组合 actor。 Geese 可以用于构建任何规模的 Rust 项目。 本视频提供了使用 Geese 的简介,包括:
创建上下文
触发事件
定义事件系统
监听事件
声明和访问系统依赖项
油管视频: https://www.youtube.com/watch?v=zqNTbttpmaY
使用 just 管理 Rust 项目命令
just 为您提供一种保存和运行项目特有命令的便捷方式。
本教程演示了如何使用 just工具来管理 Rust 的项目.
just github 地址: https://github.com/casey/just
--
From 日报小组 FBI小白
社区学习交流平台订阅:
Rustcc论坛: 支持rss
微信公众号:Rust语言中文社区