Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Фшинг-атака на разработчиков пакетов на языке Rust"	+/–
Сообщение от opennews (?), 13-Сен-25, 09:43
Организация Rust Foundation предупредила разработчиков о выявлении фшинг-атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozill AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63875
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

4. Сообщение от Аноним (4), 13-Сен-25, 09:50	+2 +/–
централизованное хранилище кода - это удобно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Голдер и Рита (?), 13-Сен-25, 09:53	+1 +/–
> Фшинг-атака на разработчиков пакетов на языке Rust Мы этого ожидали!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

8. Сообщение от Сергей (??), 13-Сен-25, 09:55	+/–
Децентрализованные точно такие же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #55

11. Сообщение от Фридрих (?), 13-Сен-25, 10:02	+10 +/–
Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #64, #93

13. Сообщение от Голдер и Рита (?), 13-Сен-25, 10:05	+/–
> Наконец взялись за этих павлинов Это еще цветочки, а ягодки впереди. 😏
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (26), 13-Сен-25, 10:35	+/–
Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, т.к. какие-то бабушки поймались.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #49

28. Сообщение от Аноним (28), 13-Сен-25, 10:39	+7 +/–
> Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, > т.к. какие-то бабушки поймались. Пока ты веришь что это из-за бабушек тебя модно обманывать как угодно и на только мошенникам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #72, #85

33. Сообщение от Аноним (33), 13-Сен-25, 10:57	+1 +/–
NPM и Crates.io ещё посоревнуются за первенство ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #90

35. Сообщение от Аноним (-), 13-Сен-25, 11:09	+5 +/–
> NPM и Crates.io ещё посоревнуются за первенство ;) Отличное соревнование,пока что NPM обгоняет Crates. Но победитель все еще kernel.org. Взлом которого не замечали ДЖВА ГОДА ¯\_(ツ)_/¯
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37, #94

37. Сообщение от Аноним (37), 13-Сен-25, 11:17	+/–
Соревнование по количеству проектов, за которые выдавали подставные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

47. Сообщение от Rev (ok), 13-Сен-25, 13:24	+1 +/–
Да, а сведений об успешной атаке всё нет. Может всё-таки Rust-программисты умнее js-ников?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #51

48. Сообщение от Прохожий (??), 13-Сен-25, 13:39	–1 +/–
Ожидаемо. И неудивительно. Не понимаю, чему здесь радуются Воины Борьбы Супротив Раста. Ведь эта атака показывает только то, что Раст становится таким же популярным, как JS, Python.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #80

49. Сообщение от Прохожий (??), 13-Сен-25, 13:41	+/–
IT-шники с мозгами не считают Rust мутью. А вот те, кого природа обделила - да, считают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

51. Сообщение от Аноним (51), 13-Сен-25, 14:51	+3 +/–
> Может всё-таки Rust-программисты умнее js-ников? Нет, не может. Просто у одних ЯП компилируется в бинарный код, у других нет. В остальном разницы никакой, оба не умеют обращаться с памятью поэтому одни пользуются js, другие растом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #82

55. Сообщение от Аноним (55), 13-Сен-25, 15:33	+4 +/–
Всё же не совсем. Тут игра идёт на доверие к центральному авторитету, уважаемой компании, всяким там "foundation", за которыми даже без фишингов неизвестно кто стоит. В децентрализованной системе доверие в почти целиком зижится на карме конкретной личности, производящей продукт, а если и система доступа вообще децентрализованна (каждый сам хранит свои ключи публикации и нет паролей к чему-либо), то тут и фишить особо нечего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #60, #68, #84

60. Сообщение от Аноним (60), 13-Сен-25, 16:06	+/–
Есть такая пословица неизвестного происхождения: if you want to go fast, go alone, if you want to go far, go together. Подумай как-нибудь что она на самом деле обозначает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #71

64. Сообщение от Аноним (64), 13-Сен-25, 16:50	+/–
> Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны. А о каких "павлинах" речь? В Microsoft и других компаниях, топящих за Раст, вполне закономерно не юзают crates.io (и прочие публичные помойки для других языков) - у них своя локальная инфраструктура развернута.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

68. Сообщение от Аноним (-), 13-Сен-25, 17:54	+2 +/–
> Тут игра идёт на доверие к центральному авторитету, > уважаемой компании, всяким там "foundation", Про какой foundation идет речь? Про Linux Foundation? Которые владеют центральной репой, готовят эталонные ядра и централизовано распространяют их? > В децентрализованной системе доверие в почти целиком зижится на > карме конкретной личности,  Жын Тян передает привет)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #79

71. Сообщение от Аноним (71), 13-Сен-25, 19:06	+/–
Вместе на дистанции, - эффективно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

72. Сообщение от Аноним (72), 13-Сен-25, 19:25	–2 +/–
Пока ты веришь, что способен знать Настоящую Истинную Правду, скрываемую властями, тебя можно обманывать как угодно и на только мошенникам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

76. Сообщение от Аноним (76), 13-Сен-25, 21:08	+/–
Какая связь между crates.io и GitHub? Через прокси воровали учётные данные ведь к Github'у, а не к crates.io
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #115

78. Сообщение от Аноним (78), 13-Сен-25, 21:32	+1 +/–
не путай популярность с хайпом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #110

79. Сообщение от Аноним (79), 13-Сен-25, 21:55	+/–
Жын Тян пытался заразить централизованный репозиторий (дистрибутив(ы)) через централизованный инит)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

80. Сообщение от Аноним (80), 13-Сен-25, 22:26	+1 +/–
> Раст становится таким же популярным, как JS, Python. Раст становится просто таким же, как JS и Python.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #98, #111

82. Сообщение от Аноним (82), 14-Сен-25, 00:46	+1 +/–
Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно. А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем? Вон еще чатгопота есть, думать вообще не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #92

84. Сообщение от Bob (??), 14-Сен-25, 08:27	–2 +/–
Тут игра идёт на то, что вафёлы будут невнимательны к отправителю письма. Ну и судя по скринам - так и есть. А тут плевать на централизацию или децентрализацию, если сам юзер туп как пробка) Люди с мозгами под такое создают отдельную почту с вайтлистом для входящей корреспонденции. Но откуда им взяться в дуракоцентрированном хайповом языке?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #91

85. Сообщение от Bob (??), 14-Сен-25, 08:37	+/–
К чему стадам дары свободы? Их должно резать или стричь. Наследство их из рода в роды Ярмо с гремушками да бич.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #89

87. Сообщение от Аноним (-), 14-Сен-25, 08:41	+1 +/–
> атакующие могли перехватить передаваемые параметры входа > и двухфакторной аутентификации. И тут вдруг оказалось что майкрософт много делал мозг окружающим - и это мешает всем кроме, собственно, атакующих. Типикал майкрософт.
Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (88), 14-Сен-25, 09:07	+/–
сайты надо писать на безопасных языках, чтобы нельзя было перехватить.
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от Аноним (-), 14-Сен-25, 09:47    Скрыто ботом-модератором	+/–
> Ярмо с гремушками да бич. Гремушки не можно уже - GPS трекер в ошейнике. Да еще и за свой счет!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

90. Сообщение от Аноним (-), 14-Сен-25, 09:48	+/–
> NPM и Crates.io ещё посоревнуются за первенство ;) И тут они замечают что pipi обощел их уже на целый круг. Вот это поворот!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #95

91. Сообщение от mustai (ok), 14-Сен-25, 12:23	+/–
Ждём, когда создатели почтовых клиентов и веб-интерфейсов почты начнут не "красивенько скрывать" отправителя, а всячески выделять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #97

92. Сообщение от Ананимус (?), 14-Сен-25, 13:58	+1 +/–
> Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно. Сишники не знают как оно там все работает. Во много потому, что сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала. > А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем? Чем отличается   uint8_t *buf = malloc(128); от   let mut buf = Vec::with_capacity(128); Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #96, #99, #101

93. Сообщение от Ананимус (?), 14-Сен-25, 14:01	+/–
Пока что единственная атака, которая лишь по счастливой случайности не попала в дистрибутивы -- атака на сишный xz. Атаки на JS, Python и Rust заканчивались взломом какой-то библиотеки раскрашивания CLI, которую находили через неделю, чинили, и никаких серьезных последствий в итоге не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

94. Сообщение от Аноним (33), 14-Сен-25, 14:50	+/–
Что-то только не появилось на kernel.org: 1inux, lunix, lenux и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

95. Сообщение от Аноним (33), 14-Сен-25, 14:53	+/–
NPM он пока ещё не обошёл, но запасаемся попкорном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

96. Сообщение от Аноним (96), 14-Сен-25, 15:55	+/–
> uint8_t *buf = malloc(128); аж передёрнуло как они там вообще живут непонятно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

97. Сообщение от Аноним (97), 14-Сен-25, 16:47	+/–
Отдельный привет гуглам, где и урл в браузере украсят, так что мама родная не узнает, и в их веб почте отправителя красивенько покажут, что хрен поймёшь кто это... Но, кажется, 50% клюнувших не помогло бы если бы даже всё это не скрывалось бы..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #116

98. Сообщение от Аноним (33), 14-Сен-25, 16:49	+/–
У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #109, #113

99. Сообщение от Аноним (-), 14-Сен-25, 17:09	+/–
> сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала. Да какой там читать, "открытый" сишный стандарт раздают только за денёжку, большая часть сишников его в глаза никогда не видела. Холопам в лучшем случае дают только черновики полистать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

101. Сообщение от Аноним (51), 14-Сен-25, 21:48	+/–
> Разница-то где? Средний сишник понятия не имеет что там внутри у malloc(). Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #102

102. Сообщение от Ананимус (?), 14-Сен-25, 21:54	+/–
> Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано. Там под капотом per-thread arena-аллокатор на 12k строк. Но хорошая попытка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #103

103. Сообщение от Аноним (51), 14-Сен-25, 22:38	+/–
там под капотом jemalloc, у которого per-thread arena-аллокатор, у которого под капотом mmap().
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #104

104. Сообщение от Ананимус (?), 14-Сен-25, 22:50	+/–
> там под капотом jemalloc, у которого per-thread arena-аллокатор Нет, там под капотом нет jemalloc. Там их собственный ptmalloc2. Чем больше ты пишешь, тем больше ты подверждаешь мой тезис что сишники понятия не имею что там на аллокации памяти происходит. > у которого под капотом mmap() Это примерно как сказать "у него под капотом syscall". Вся сложность аллокатора начинается после того, как ты сделал mmap. Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен, потому что ходить каждый раз в mmap() за новой памятью (особенно когда мы говорим про мелкие объекты вроде структур деревьев, структур для запросов и т.д.) очень дорого.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #105

105. Сообщение от Аноним (51), 14-Сен-25, 23:14	+/–
> Нет, там под капотом нет jemalloc Хз почему у тебя там нет jemalloc, у меня вот есть. > Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен У меня не линукс, и даже не glibc
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #106

106. Сообщение от Ананимус (?), 14-Сен-25, 23:26	+/–
>> Нет, там под капотом нет jemalloc > Хз почему у тебя там нет jemalloc, у меня вот есть. Разговор перестает иметь хоть какой-то смысл. jemalloc ещё сложнее и никто, кроме тех, кто читал сорцы, не знает, что там происходит. >> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен > У меня не линукс, и даже не glibc Это все ещё подтверждает мой тезис что сишники понятия не имеют что происходит на аллокации. В том числе потому что аллокатор отличается от окружения к окружению.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #107

107. Сообщение от Аноним (51), 14-Сен-25, 23:31	+/–
Ну вот я сишник и понятия не имею как работает аллокатор в винде, потому что не пользуюсь ей. И линуксом не пользуюсь.  А вот в ОС, которой пользуюсь, знаю как он работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #108

108. Сообщение от Ананимус (?), 14-Сен-25, 23:35	+/–
> Ну вот я сишник и понятия не имею как работает аллокатор в > винде, потому что не пользуюсь ей. И линуксом не пользуюсь.   > А вот в ОС, которой пользуюсь, знаю как он работает. Ты там что-то про mmap() вроде писал? $ cat test.c #include <stdio.h> #include <stdlib.h> #include <string.h> #define NR_POINTERS 4096 #define NR_BYTES    128 int main(void) {     char *pointers[NR_POINTERS];     for (size_t n = 0; n < 100; ++n) {         puts("allocation start");         fflush(stdout);         for (size_t i = 0; i < NR_POINTERS; ++i) {             pointers[i] = malloc(NR_BYTES);             memset(pointers[i], 'x', NR_BYTES);         }         puts("allocation end");         fflush(stdout);         for (size_t i = 0; i < NR_POINTERS; ++i)             free(pointers[i]);     }     return 0; } $ strace -c ./test % time     seconds  usecs/call     calls    errors syscall ------ ----------- ----------- --------- --------- ---------------- 72.72    0.002335           4       503           brk 20.06    0.000644           3       200           write   2.93    0.000094          11         8           mmap   0.97    0.000031          10         3           mprotect   0.69    0.000022          22         1           munmap   0.56    0.000018           6         3           fstat   0.31    0.000010           5         2           close   0.31    0.000010           5         2           pread64   0.28    0.000009           4         2           openat   0.19    0.000006           6         1           read   0.19    0.000006           6         1           prlimit64   0.19    0.000006           6         1           getrandom   0.16    0.000005           5         1           arch_prctl   0.16    0.000005           5         1           set_tid_address   0.16    0.000005           5         1           set_robust_list   0.16    0.000005           5         1           rseq   0.00    0.000000           0         1         1 access   0.00    0.000000           0         1           execve ------ ----------- ----------- --------- --------- ---------------- 100.00    0.003211           4       733         1 total Ой-ой, аллокатор почему-то делает brk(). Где же mmap()?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107

109. Сообщение от Ананимус (?), 15-Сен-25, 00:12	+/–
> У Python, хотя бы, комьюнити не токсичное, в отличие от Раста. У Python нет единого сообщества. Ни у одного языка нет, кроме языка, где сообщество в один IRC канал умещается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

110. Сообщение от Прохожий (??), 15-Сен-25, 01:29	+/–
Если взглянуть на количество загрузок библиотек с crates.io, увидишь сам, что я ничего не путаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78

111. Сообщение от Прохожий (??), 15-Сен-25, 01:31	+/–
Надо было что-то ляпнуть, да? Rust никогда таким не станет, просто потому, что это принципиально другой язык программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

112. Сообщение от Master255 (?), 15-Сен-25, 03:12	+/–
А я на go пишу кросплатформенную логику. Он компилируется и в jar и в dll библиотеку и все остальные платформы и архитектуры. Забудьте про этот раст! Пишите на Golang!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #114

113. Сообщение от Аноним (-), 15-Сен-25, 07:11	+/–
> У Python, хотя бы, комьюнити не токсичное, в отличие от Раста. Легион утят доказывающих что их картонные макеты самые самые и на этом можно чуть не ядра ос писать а остальное не нужно - готовы с этим утверждением конкретно поспорить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

114. Сообщение от Аноним (-), 15-Сен-25, 07:14	+/–
> А я на go пишу кросплатформенную логику. Он компилируется и в jar > и в dll библиотеку и все остальные платформы и архитектуры. > Забудьте про этот раст! Пишите на Golang! Штука с неотключаемым GC - хрусту не конкурент, даже чисто теоретически. Фуксики ударно переписывающие дрова с go на rust подтвердят. Видите ли драйвер FAT32 с аппетитами как ZFS - не очень ценный актив оказался. И план по захвату мира застрял на паре фоторамок. А потом тиму децимировали - так что хэппи энда в этой истории, увы, не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

115. Сообщение от Ананимус (?), 15-Сен-25, 09:07	+/–
Кексперты тригерятся на млоао Rust, в детали им слишком сложно вникать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

116. Сообщение от Васян (?), 15-Сен-25, 10:43	+/–
--- Отдельный привет гуглам, где... Да ладно... просто гулерасты возомнили себя агентами спецслужб, работающими под прикрытием и торгующими информацией... Пользуйтесь рекомендациями гугле... и другими такими же. А миллиарды бюджетные или не бюджетные, какая разница через кого это всё отмывается и как, где там и какие договорённости и между кем, да и почему это всё не называется сговором? Коммерческая тайна брендированных монополий? Реклама двигатель прогресса? Нет, слив инфы и тотальный контроль над сетью... Безопасность, конфиденциальность? От кого и для кого? Интерфейс для удобства пользователей? Законы какие-то там типа ещё и международные? Для кого поисковики сделаны и кем, типа там ещё какая-то электроннная почта и всё такое? Гуглерасты и другие не раскрывают ваши данные? А чё там с сертефикатами безопасности всякими разными и т.н. легитимизаторами? Браузинг это не прогулка в парке... Стандарты, протоколы, рекомендации-обязательства использования всего этого... Зачем люди покупают компьютеры, смартфоны и всё такое? Кто там частную собственность пользует, чью, где и как, а на основании каких законов или это всё односторонним лицсоглашением назывется между тремя сторонами, а может пятью и десятью называется? Где там цензура запрещена и зачем? ... А что такое вообще частная жизнь? Как корпорасты прячутся от окружающих, а к окружающим лезут везде? ...?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема