В Rust-репозитории crates.io выявлены четыре вредоносных пакета

Краб на рисунке какой-то слишком довольный. Он знал!

Собственно это то, о чем на ЛОРе периодически и говорится: проблемы безопасности кроются не только в утечках памяти

ОЙ ВСЕ!

Надо эти пакеты пометить как unsafe, делов-то.

RUST: «The Gift That Keeps Giving»

Это весёлый красный краб репрессий пришёл за разработчиками.

Краб стоит крабом и получает удовольствие. ¯\_(ツ)_/¯

NPM, Cargo, у pip вроде тоже подобные новости были. На счёт Maven не припомню, но странно если там такого не всплывало.

Как говорится, есть два стула. На одном удобство разработки и вероятность подцепить заразу через такие пакеты, а с другой стороны сишечка с плюсами у которых всё отдано на волю мейнтейнера дистрибутива, что однако не гарантирует от пролезания зловреда (вспомним историю с liblzma, где спалились чисто случайно).

а я только руст поставил. можно значит удалять!?

«Можно» – не значит «нужно».

— Доктор, можно?
— Не только «можно», но я бы даже сказал «нужно»..!

Блин, опять повод не обновлять корпоративный сервер на Debian Woody. Да хватит уже пугать, мы и так запуганные.

Как говорится, есть два стула. На одном удобство разработки и вероятность подцепить заразу через такие пакеты, а с другой стороны сишечка с плюсами у которых всё отдано на волю мейнтейнера дистрибутива, что однако не гарантирует от пролезания зловреда (вспомним историю с liblzma, где спалились чисто случайно).

Тут, кстати, и третий стул можно нащупать из разряда «теория заговора»:

Раз кто-то засунул вирус в пакеты, значит все кто пользуется должны быть верифицированы, а далее - сначала раст по паспортам (с возможностью санкционировать и внедрять только «проверенный службами код»), потом интернет по паспортам…

Ну это так, поднакидал, чтоб не двуполярно все было…))))

Ну раз уж тут смехуёчки над растом пошли, расскажу историю. Гуляю я в любимом лесу, дышу свежим кислородом, и увидел домик лесника, ну и там скамейка, мангальное место для гриля и всё такое. Смотрю, на дереве распечатка, видимо от каких-то природоохранных контор, что мол так и так, в пруду нашли вид ракообразных, нетипичных/чужих для данной экосистемы, и что они распространяют какую-то инфекцию. И что при встрече не трогать. И фотография с какими-то раком.

включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты.

Покажите мне статистику, сколько пользователей было обкрадено.

И фотография с какими-то раком.

Это точно то, о чём я подумал, или просто единственные числа с множественными перепутаны?

Не очень понал вопроса. Одна фотография с одним ракообразным существом, похожим на рака.

Значит всё-таки второе.

Забей.

На одном удобство разработки и вероятность подцепить заразу

Нет, на этом удобство для идиотов и возможность подцепить. Никакого настоящего удобства такие недорепы не дают.

Значит всё-таки второе.

Забей.

Слишком тонко троллишь, третьим походу будешь…)))

И фотография с какими-то раком.

уж не тот ли рак был что изображен на новости?

нет, тут же краб. Так что все нормально, продолжаем изучать раст.

Ну да, ну да. Гиганская куча разрабов со всего мир: npm, cargo, pip, maven, vcpkg и т.д. И эксперты на ЛОРе: «Вы все вокруг дураки и не лечитесь! Одна я умная, в белом пальто стою красивая!»

С появлением Rust сразу как-то подумалось что в него будет встроен программный код дыра для подключения только тому кому нужно (ЦРУ, АНБ и прочее). Потому что странно было, ни с того ни с сего заявить что С и С++ теперь не модные и вчерашний век и переходим срочно все на Rust. Якобы он безопасный и не даёт кому-то встраиваться в чужой бинарник в памяти. Да и время такое, все свех-компании прижали/прогнули, гугла, фейсбуки и прочее, цензурируют максимально и качественно, вот как раз в такое время есть смысл в программные языки встроить код, который в нужное время сделает полезное для авторов. Тут ещё выясняется что проги на Rust в разы весомее. Как пример антивирусник ClamAV на Rust чуть ли не в 10 раз больше по размеру.

Знаешь картинку про то, что надо придумывать новые теории заговора, т.к. почти все имеющиеся оказались правдой?

С появлением Rust сразу как-то подумалось что в него будет встроен программный код дыра для подключения только тому кому нужно (ЦРУ, АНБ и прочее). Потому что странно было, ни с того ни с сего заявить что С и С++ теперь не модные и вчерашний век и переходим срочно все на Rust. Якобы он безопасный и не даёт кому-то встраиваться в чужой бинарник в памяти. Да и время такое, все свех-компании прижали/прогнули, гугла, фейсбуки и прочее, цензурируют максимально и качественно, вот как раз в такое время есть смысл в программные языки встроить код, который в нужное время сделает полезное для авторов. Тут ещё выясняется что проги на Rust в разы весомее. Как пример антивирусник ClamAV на Rust чуть ли не в 10 раз больше по размеру.

я тоже самое подумал про systemd. специально скрипты запретили чтоб не видно было кто куда подключается…

Тут ещё выясняется что проги на Rust в разы весомее. Как пример антивирусник ClamAV на Rust чуть ли не в 10 раз больше по размеру.

Ну тогда это не про «теории заговора», а банально про бизнес и копроэкономику. Надо же, чтобы люди покупали новое железо. А значит, как минимум производители оного заинтересованы в таких языках.

Но тут, конечно, нужны бенчи и пруфы. Именно в 10 раз? В 10 раз только из-за языка, или в растоверсии какие-то новые функции были добавлены? Если да, то почему? Это же ведь не какой-нибудь managed язычок, а ЯП с вполне себе компиляцией в нативный код. И так далее.

P.S. Весомее на диске или весомее при работе в оперативной памяти? В общем случае это разные вещи, хоть и коррелирующие.

До масштабов Shai Hulud далеко конечно, но лиха беда начало :)

сразу как-то подумалось

Ты себе льстишь.

ни с того ни с сего заявить

Заявили как раз «с того», причём наглядно это продемонстрировали. Если бы тебе было чем - ты бы аргументацию понял.

не даёт кому-то встраиваться в чужой бинарник в памяти

Это кто тебе такое сказал?

код, который в нужное время сделает полезное для авторов

Весь софт делает что-то, полезное для авторов. Его за этим, собственно, и пишут.

антивирусник ClamAV на Rust чуть ли не в 10 раз больше по размеру

Это сколько в цифрах? 100 килобайт вместо 10?

Ну тогда это не про «теории заговора», а банально про бизнес и копроэкономику.

Вот еще накину тогда:

что если растотворцы инфраструктурно не смогли «в безопасность» и решили контрольно слить свой проект, чтобы инвесторы не так донимали?

Там же пару недель релизился червь как хотел и его типа сразу накрыли каким-то образом найдя в исправном коде одну строчку вызова вполне на первый взгляд легитимную (ее только глазами найти и можно), а до этого их вдуг некие запросы заитересовали, которые вроде бы реализованы так, что система их ловить/блочить не должна, типа все ок для системы и антивирусов выглядело…)))))

А как же безопасность? :)

На счёт Maven не припомню, но странно если там такого не всплывало.

Вспомнилось про log4j, но оно скорее не в мавене было дело.

(вспомним историю с liblzma, где спалились чисто случайно)

История с бэкдором в XZ Utils, который был в liblzma.

Весь софт делает что-то, полезное для авторов. Его за этим, собственно, и пишут.

тут тебе не о гипотетической полезности пишут, а о вполне конкретной

Это сколько в цифрах? 100 килобайт вместо 10?

Это очень существенное различие, есть такое понятие в науках как «много больше» (>>), а во многих сценариях/ситуациях - это недопустимо, например, если каждый пакет кроме ядра увеличится в 10 раз, то система запросто 100-150ГГб будет весить и под 10 ГГб оперативы жрать станет - уже не так «вкусно» и «незначительно» выглядит это все, правда…? Про историю с эмдед - вообще можно забыть тут…

а о вполне конкретной

Какой «конкретной»? Там максимально абстрактное размазывание теории заговора по заднице без малейших следов конкретики.

Это очень существенное различие

100 килобайт

Я прям даже не знаю чем тебе помочь. Попробуй найти старую флэшку на 128Мб. Или моск.

Про историю с эмдед - вообще можно забыть тут…

Rust без проблем используется во встраиваемых системах - если речь про реальность, а не про бессмысленные рассуждения мамкиных теоретиков, которые ни разу с ними не работали.

Экстраполяция здесь не работает. И код от используемой памяти программы обычно очень мал и увеличение на маленьких программах не соответствует увеличению на больших, потому что размер программы имеет примерно постоянную часть от среды выполнения. Которая для Си близка к 0, а для Раста заметно больше.

Keeps on giving. Ты б хоть английский выучил раз уж Rust не осиливаешь.

Если у вредоносов память не течёт, то всё норм.

P.S. Весомее на диске или весомее при работе в оперативной памяти? В общем случае это разные вещи, хоть и коррелирующие.

Вот тут релиз для винды 192 Мб, на сайте автора в пределах 12-18 Мб, уже не помню, а ссылка не открывается. Сслыка на его офсайт там же на гитхабе сверху над ссылкой релизов.

Какой «конкретной»? Там максимально абстрактное размазывание теории заговора по заднице без малейших следов конкретики.

Ну вот видишь, мессадж уловил же…

Я прям даже не знаю чем тебе помочь. Попробуй найти старую флэшку на 128Мб. Или моск.

Что за глупость про «найди флешку» на 128мб..?? А что их нет? Оо

Моск поискал у тебя не нашлосТь

Rust без проблем используется во встраиваемых системах - если речь про реальность, а не про бессмысленные рассуждения мамкиных теоретиков, которые ни разу с ними не работали.

Сейчас бы это из мира фантазий и «сделали потому что могли» перенести бы в реальный мир… Да и опять ты отвечаешь на вопросы и тезисы, которых не звучало: Вопрос стоял о том, что различия в 10 раз по потреблению ресурсов - это существенно и писать про «Это сколько в цифрах? 100 килобайт вместо 10» - это детский лепет неокрепшего ума, тебе и написали, что разница Большая даже в сегодняшних условия, а в некоторых сценариях - недопустимая разница… Ферштейн?

Судя по посту, не смотря на предупреждение, потрогал ракообразного.

Экстраполяция здесь не работает. И код от используемой памяти программы обычно очень мал и увеличение на маленьких программах не соответствует увеличению на больших, потому что размер программы имеет примерно постоянную часть от среды выполнения. Которая для Си близка к 0, а для Раста заметно больше.

Разговор о существенном различии 100кб относительно 10кб - что здесь «не работает»…?

Подними руку. Правую или левую — не важно.

Поднял? Молодец.

А теперь резко опусти. И в момент опускания прокричи: «Ну и фиг с ним!» Должно отпустить.

Если на одном языке постоянная часть (среда выполнения) 9КБ, а на другом 99КБ, то программа с кодом в 1КБ будет в первом языке 10КБ, а во втором 100КБ. А программа с кодом в 1024КБ в первом языке будет 1033КБ, а во втором 1121КБ.

дышу свежим кислородом

Советую в этом лесу долго не гулять :-)

Я очень хочу, чтобы за такими репозиториями пришли все эти блюстители защиты потребителей. В Англии приняли закон об ответственности за распространение ненадёжного софта, оттуда уже свалили некоторые открытые проекты в страхе быть оштрафованными, а тут площадка которая просто напрашивается распространять трояны. Вон, у соседей по цеху Шай-Хулуды всякие потихоньку сжирают всё. Питон и Раст на очереди? Или там уже тоже орудуют, только ещё не обнаружили?

Закрыть и запретить. А регистрировать пользователей только по пачпорту и просматривать код в ручном режиме.

Не надо было ставить :)

Мы долго ждали этот день! :)

https://pikabu.ru/story/svisnul_12976256

Так может бинари не стрипнули.

https://orpk.org/books/2289

специально скрипты запретили чтоб не видно было кто куда подключается…

Интересно, а нетупые хейтеры вообще встречаются в природе? Ну такие которые владеют элементарными навыками работы с ОС и им без скриптов видно кто куда подключается.