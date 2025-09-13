The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Фишинг-атака на разработчиков пакетов на языке Rust

13.09.2025 09:37

Организация Rust Foundation предупредила разработчиков о выявлении фишинг-атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozilla AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет.

Сопровождающие пакеты в каталоге crates.io стали получать письма, стилизованные под уведомления от crates.io с предупреждением о компрометации инфраструктуры проекта и получении атакующими доступа к данным пользователей. В качестве временной меры для блокирования возможности внесения атакующими изменений в пакеты предлагалось изменить свои учётные данные через форму, пройдя аутентификацию через внутреннюю систему единого входа (SSO).

Ссылки в письме вели на сайт "rustfoundation.dev", не связанный с проектом Rust. После перехода по ссылке открывалась страница "github.rustfoundation.dev/login" для аутентификации через GitHub, нацеленная на перехват учётных данных для подключения к проекту на GitHub. Содержимое сайта rustfoundation.dev генерировалось через проксирование запросов к github.com, т.е. сайт полностью повторял github.com, а атакующие могли перехватить передаваемые параметры входа и двухфакторной аутентификации.



  1. Главная ссылка к новости (https://blog.rust-lang.org/202...)
  2. OpenNews: Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски
  3. OpenNews: Скомпрометированы 18 NPM-пакетов, насчитывающих более 2 миллиардов загрузок в неделю
  4. OpenNews: Атака на браузерные дополнения с менеджерами паролей, использующая кликджекинг
  5. OpenNews: Перехвачены 4 учётные записи в PyPI и выпущены вредоносные релизы num2words
  6. OpenNews: Фишинг-атака на сопровождающих Python-пакеты в репозитории PyPI
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63875-fishing
Ключевые слова: fishing, create, rust
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 09:50, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    централизованное хранилище кода - это удобно
     
     
  • 2.8, Сергей (??), 09:55, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Децентрализованные точно такие же
     
     
  • 3.55, Аноним (55), 15:33, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Всё же не совсем. Тут игра идёт на доверие к центральному авторитету, уважаемой компании, всяким там "foundation", за которыми даже без фишингов неизвестно кто стоит. В децентрализованной системе доверие в почти целиком зижится на карме конкретной личности, производящей продукт, а если и система доступа вообще децентрализованна (каждый сам хранит свои ключи публикации и нет паролей к чему-либо), то тут и фишить особо нечего.
     
     
  • 4.60, Аноним (60), 16:06, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Есть такая пословица неизвестного происхождения: if you want to go fast, go alone, if you want to go far, go together. Подумай как-нибудь что она на самом деле обозначает.
     

  • 1.7, Голдер и Рита (?), 09:53, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Фшинг-атака на разработчиков пакетов на языке Rust

    Мы этого ожидали!

     
     
  • 2.47, Rev (ok), 13:24, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Да, а сведений об успешной атаке всё нет. Может всё-таки Rust-программисты умнее js-ников?
     
     
  • 3.51, Аноним (51), 14:51, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Может всё-таки Rust-программисты умнее js-ников?

    Нет, не может. Просто у одних ЯП компилируется в бинарный код, у других нет. В остальном разницы никакой, оба не умеют обращаться с памятью поэтому одни пользуются js, другие растом.

     
     
  • 4.52, Аноним (-), 15:10, 13/09/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
     
  • 5.62, Аноним (62), 16:11, 13/09/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.11, Фридрих (?), 10:02, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.
     
     
  • 2.13, Голдер и Рита (?), 10:05, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Наконец взялись за этих павлинов

    Это еще цветочки, а ягодки впереди. 😏

     
  • 2.29, Аноним (29), 10:40, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Что самое забавное даже в местных комментах их нет защищать Раст. Потому что понимают что обделались по полной.
     
     
  • 3.41, Аноним (41), 11:37, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А смысл что-то защищать? От кого защищать? Собаки лают, караван идет...
     
     
  • 4.56, Аноним (56), 15:43, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Растовики лают, а си плюс плюс идёт.
     
     
  • 5.58, НяшМяш (ok), 15:48, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    ...на дно
     
     
  • 6.63, Аноним (-), 16:12, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Не, это сишка тихо опускается на dni-ще.

    А С++ бодрячком, там комитет расколотся аки popa, на две почти равных половины.
    Спорят как лучше делать Safe C++.
    Причем так, основательно спорят, с оскорблениями, грязными приемами и подставами, приплетают политику и личные качества.

    Я уже даже немного устал жевать попкорн))

     
  • 3.42, Аноним (42), 11:40, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    просто те, кто пишет на Rust достаточно умны, чтоб не перекладывать воздух с места на места без толку.
     
     
  • 4.57, Аноним (56), 15:43, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Сверхлюдей на бывает, а растовики просто занимаются ненужной лишней работой.
     
  • 3.50, Аноним (-), 14:37, 13/09/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     

  • 1.26, Аноним (26), 10:35, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, т.к. какие-то бабушки поймались.
     
     
  • 2.28, Аноним (29), 10:39, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    > Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете,
    > т.к. какие-то бабушки поймались.

    Пока ты веришь что это из-за бабушек тебя модно обманывать как угодно и на только мошенникам.

     
  • 2.49, Прохожий (??), 13:41, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    IT-шники с мозгами не считают Rust мутью. А вот те, кого природа обделила - да, считают.
     

  • 1.33, Аноним (62), 10:57, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    NPM и Crates.io ещё посоревнуются за первенство ;)
     
     
  • 2.35, Аноним (-), 11:09, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > NPM и Crates.io ещё посоревнуются за первенство ;)

    Отличное соревнование,пока что NPM обгоняет Crates.
    Но победитель все еще kernel.org.
    Взлом которого не замечали ДЖВА ГОДА ¯\_(ツ)_/¯

     
     
  • 3.37, Аноним (37), 11:17, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Соревнование по количеству проектов, за которые выдавали подставные.
     

  • 1.48, Прохожий (??), 13:39, 13/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ожидаемо. И неудивительно. Не понимаю, чему здесь радуются Воины Борьбы Супротив Раста. Ведь эта атака показывает только то, что Раст становится таким же популярным, как JS, Python.
     
     
  • 2.53, Аноним (53), 15:24, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    И таким же небезопасным, как бы из вопроса о безопасности не пытались выкинуть неотделимую от Раста инфраструктуру-реshето.
     
     
  • 3.54, 69149 (?), 15:28, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    вы посягнули на святое! раст опасным не м.б. по определению!
     
  • 3.61, Аноним (60), 16:10, 13/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > неотделимую от Раста инфраструктуру

    Такая существует только в головах местных. Если бы не лапки, ты бы свою точно такую же при необходимости поднял в два счёта. Но природа жестока.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру