🚨Фейковый Rust-пакет скачали более 7 000 раз до удаления
Он маскировался под инструмент для Ethereum, но внутри выполнял вредоносный код на Windows, macOS и Linux.
Что важно:
- Пакеты выдавали себя за обычные утилиты, но при установке начинали выполнять вредоносный код — искать приватные ключи, данные браузеров и другие чувствительные файлы.
- После обнаружения оба пакета —
- Этот случай - напоминание, что цепочки поставок (supply chain) остаются одной из главных уязвимостей: даже доверенные библиотеки могут скрывать вред.
Если ты используешь Rust и зависимости из crates.io - обязательно проверяй репутацию пакетов перед установкой. Не доверяй репозитория просто из-за названия или количества скачиваний.
https://thehackernews.com/2025/12/malicious-rust-crate-delivers-os.html
#Rust #Security #SupplyChain #DevSecOps
Он маскировался под инструмент для Ethereum, но внутри выполнял вредоносный код на Windows, macOS и Linux.
Что важно:
- Пакеты выдавали себя за обычные утилиты, но при установке начинали выполнять вредоносный код — искать приватные ключи, данные браузеров и другие чувствительные файлы.
- После обнаружения оба пакета —
faster_log и async_println — были удалены из реестра, а злоумышленники заблокированы. - Этот случай - напоминание, что цепочки поставок (supply chain) остаются одной из главных уязвимостей: даже доверенные библиотеки могут скрывать вред.
Если ты используешь Rust и зависимости из crates.io - обязательно проверяй репутацию пакетов перед установкой. Не доверяй репозитория просто из-за названия или количества скачиваний.
https://thehackernews.com/2025/12/malicious-rust-crate-delivers-os.html
#Rust #Security #SupplyChain #DevSecOps
👍 20
❤ 4
🙉 3
5 28 6K
Обсуждение 5
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram