Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В Rust-репозитории crates.io выявлены четыре вредоносных пакета"	+/–
Сообщение от opennews (??), 08-Дек-25, 11:32
Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов finch-rust, sha-rust, evm-units и uniswap-utils, содержащих вредоносный код... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64394
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+29 +/–
Сообщение от Аноним (1), 08-Дек-25, 11:32
Вирус должен быть безопасным. Чтобы уязвимость в вирусе не смогли использовать другие вирусы.
Ответить | Правка | Наверх | Cообщить модератору

	5. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от Rust (??), 08-Дек-25, 11:50
	вирусы должны быть злыми и вредными для оправдания зловредности
	Ответить | Правка | Наверх | Cообщить модератору

	28. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (28), 08-Дек-25, 13:03
	Это относится к любым зловредам, а мы сейчас про безопастные зловреды.
	Ответить | Правка | Наверх | Cообщить модератору

	130. Скрыто модератором	+/–
	Сообщение от Аноним (130), 08-Дек-25, 18:38
	Безопасные
	Ответить | Правка | Наверх | Cообщить модератору

	132. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от ХрюХрю (?), 08-Дек-25, 18:42
	зато вирус безопасен в плане утечек памяти
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	150. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Кошкин Валентин (?), 08-Дек-25, 21:12
	Вирусмейкеры часто очень плохо знают апи и плохо программируют. Будут и утечки и неочевидные вызовы и бестолковые решения. Даже у белых серьёзные проблемы с качеством.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (59), 08-Дек-25, 14:02
	Нам явно надо дать определение вируса и его свойств.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	143. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от ХрюХрю (?), 08-Дек-25, 19:29
	все удаляю раст ничего безопасного в нем нет
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

	58. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (59), 08-Дек-25, 14:02
	Вирус никому ничего не должен, ос свободная личность.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	69. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (28), 08-Дек-25, 14:29
	Свободный вирус должен исполняться где угодно. Поэтому самый свобоный вирус на Posix Shell. Свободу вирусу!
	Ответить | Правка | Наверх | Cообщить модератору

	73. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (73), 08-Дек-25, 14:38
	Нельзя ограничивать свободу распространения вируса! Вирусы тоже программы!
	Ответить | Правка | Наверх | Cообщить модератору

	96. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Жироватт (ok), 08-Дек-25, 17:07
	Virus Execution Matter! Казни вирусов важны!
	Ответить | Правка | Наверх | Cообщить модератору

	133. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от dannyD (?), 08-Дек-25, 18:43
	главное - исполнение требований СПО.
	Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

	97. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Жироватт (ok), 08-Дек-25, 17:09
	В вирусе обязательно должна быть защита от уязвимостей в оперативной памяти. А то, пфе, переполнит буфер есму и антивирус сможет его отловить и обезвредить.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	142. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (142), 08-Дек-25, 19:26
	Не совсем, но очень похожим способом сделали takeover у ботнета MIRAI.
	Ответить | Правка | Наверх | Cообщить модератору

	110. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (110), 08-Дек-25, 18:07
	Следует отнестись внимательно ко всему, что может повредить вирусу.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (-), 08-Дек-25, 11:43
> был загружен 7257 раз с апреля > был загружен 153 раз с ноября Мда... прям заслуживает отдельной новости на опеньке)))
Ответить | Правка | Наверх | Cообщить модератору

	3. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+8 +/–
	Сообщение от Аноним (3), 08-Дек-25, 11:47
	Да ваще, лучше молчать и скрывать такое, чтоб никто не подумал что в едином репозитарии языка для безопасной работы с памятью могут быть вирусы.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (12), 08-Дек-25, 12:14
	Лол, в едином репозитории дебиана был бекдор который скачали явно больше пары сотни неудачников. Просто есть новости которые касаются большинства, а есть "ненужные". Вот ты растом пользуешься? Я, например, нет.
	Ответить | Правка | Наверх | Cообщить модератору

	25. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (25), 08-Дек-25, 12:54
	Пункт 3 https://www.debian.org/social_contract
	Ответить | Правка | Наверх | Cообщить модератору

	31. Скрыто модератором	+1 +/–
	Сообщение от Фнон (-), 08-Дек-25, 13:07
	Пфффф, ссылаться на социальные контракты дебиллианов, после того как у них юзерский ввод. отправлялся прямиком в китай, это конечно сильно. Но хрустики тоже не скрывают blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/ Думаю основной вопрос, нафига такая минорная новость нужна. Растовиков это не переубедит, полоумные дыды позубоскалят, но на их мнение всем плевать.
	Ответить | Правка | Наверх | Cообщить модератору

	149. Скрыто модератором	+/–
	Сообщение от Аноним (-), 08-Дек-25, 20:54
	Переубедит в чём? В том, что в публичный репозиторий можно загрузить зловредный код?
	Ответить | Правка | Наверх | Cообщить модератору

	27. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (27), 08-Дек-25, 12:55
	> в едином репозитории дебиана был бекдор Это какой?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	57. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Аноним (57), 08-Дек-25, 14:01
	Речь про это: https://opennet.ru/63677-stardict Какой-то переводчик под иксами, переводящий выделяемый текст на ходу. Неугодил ошалелым тем, что сливал данные не на сервера майкрософта или гугла, а в китай на локалхост разработчика.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от Аноним (-), 08-Дек-25, 14:19
	Вижу что выше вспомнили про словарик от китайцев. Но речь шла про другое: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL opennet.ru/opennews/art.shtml?num=16523 Вкратце, мейнтенер намеренно закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной". Эти он понизил энтропию подаваемого на ГСЧ значения. Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений. Бекдор в самом-самом официальном репозитории жил 18 месяцев.
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	72. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (25), 08-Дек-25, 14:36
	Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали.
	Ответить | Правка | Наверх | Cообщить модератору

	74. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 14:39
	> Так дело не в самом словарике, под видом которого отправляются данные, а в принципе работы и том, что об этом китайцы умолчали. А еще в том, что словарик не удалили из пакетов. Наверное разрешения от компартии не получили))
	Ответить | Правка | Наверх | Cообщить модератору

	76. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (76), 08-Дек-25, 14:56
	>Ну ты наверное с маздая никогда не слезал и зачем то пишешь на опеннете. Покажите мне современный дистрибут линукса в котором нет ржавчины. Её уже засунули примерно везде, а за ней crates.io Задался вопросом - как посмотреть что установлено у тебя из crates.io и получил вот это: т.е без поллитры не так то просто узнать установлен у тебя троян от растоделов или нет! Чтобы проверить пакеты, установленные из crates.io через cargo install, нужно посмотреть содержимое каталога $HOME/.cargo/bin (или ваш кастомный путь), где лежат бинарники, а для управления зависимостями проектов — смотреть Cargo.toml и Cargo.lock внутри самого проекта, так как cargo не имеет единой глобальной "установки" для библиотек, он их управляет проектами, а не системой в целом. Вот как это сделать подробнее:     Проверка установленных бинарников (инструментов):         Бинарные программы, которые вы устанавливаете через cargo install <crate_name>, попадают в $HOME/.cargo/bin/ (по умолчанию).         Откройте терминал и выполните команду:         bash     ls $HOME/.cargo/bin/     Это покажет список исполняемых файлов, установленных для использования глобально. Проверка зависимостей в конкретном проекте:     Для библиотек и зависимостей вашего проекта (а не глобальных бинарников) информация хранится в файлах проекта.     Перейдите в директорию вашего проекта (там, где находится Cargo.toml).     Посмотрите в Cargo.toml: здесь перечислены зависимости проекта (например, [dependencies]).     Посмотрите в Cargo.lock: этот файл содержит точные версии всех зависимостей, которые были использованы при последней сборке, для обеспечения воспроизводимости. Ключевая идея: cargo управляет зависимостями на уровне проекта, а cargo install устанавливает исполняемые программы в $HOME/.cargo/bin. Нет единой команды, чтобы "показать все установленные пакеты из crates.io", так как "установка" в Rust бывает двух видов: бинарные утилиты и проектные библиотеки. ЗЫ: В общем ржавчину с каргой надо отовсюду удалять. Она значительно увеличивает поверхность атаки.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	91. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (91), 08-Дек-25, 16:25
	ls ~/.cargo/ ls: невозможно получить доступ к '~/.cargo/': Нет такого файла или каталога cat /etc/redhat-release Fedora release 43 (Forty Three) > ЗЫ: В общем ржавчину с каргой надо отовсюду удалять. Она значительно увеличивает поверхность атаки. Как и любая другая программа
	Ответить | Правка | Наверх | Cообщить модератору

	128. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (76), 08-Дек-25, 18:37
	whereis rust whereis cargo whereis firefox
	Ответить | Правка | Наверх | Cообщить модератору

	151. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 21:17
	> whereis rust > whereis cargo > whereis firefox Гусары, молчать! А у последнего еще и вечные утечки и жор памяти начались после добавления Rust. Так и не починили. Но рыночную долю продолбали до следовых количеств.
	Ответить | Правка | Наверх | Cообщить модератору

	131. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (76), 08-Дек-25, 18:41
	librsvg, mesa Думаешь, если не снять с ручника, то сзади не догонят?
	Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

	13. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Витюшка (?), 08-Дек-25, 12:15
	А не в едином вирусов быть не может? Ну, по принципу "Я не вижу (закрыл глаза) - значит этого нет", наверное. Здесь хоть кто-то смотрит и как-то анализирует.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	29. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–2 +/–
	Сообщение от Аноним (-), 08-Дек-25, 13:04
	> Да ваще, лучше молчать и скрывать такое Где же это скрывают, если они прямо в официальном бложике написали blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/ Тут вопрос в другом - зачем ЭТО на опеннете? > языка для безопасной работы с памятью Отлично, что ты отметил именно этот момент. В языке написано что он защищает от вирусов? Что, нет? Ну так значит там вполне могут быть вирусы"
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	103. Скрыто модератором	+/–
	Сообщение от Аноним (103), 08-Дек-25, 17:30
	>Тут вопрос в другом - зачем ЭТО на опеннете? Так сишные уязвимости тоже на профильных сайтах хостят, так зачем они здесь? Или это другое?
	Ответить | Правка | Наверх | Cообщить модератору

	105. Скрыто модератором	+/–
	Сообщение от Аноним (-), 08-Дек-25, 17:38
	> Так сишные уязвимости тоже на профильных сайтах хостят, так зачем они здесь? Предположу что дырень в ядре или блютус на всех андроидах касается реально миллионов юзеров. А тут в репе 100к+ пакетов и нашли целых 4 штуки. Которых скачало смешное кол-во людей. > Или это другое? Знаешь пословицу о сравнении буя и пальца?
	Ответить | Правка | Наверх | Cообщить модератору

	82. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (82), 08-Дек-25, 15:11
	>в едином репозитарии Пиши правильно, "репозиторий", а не репазитарий-паразитарий. Репозиторий и так объединяет всё. Поэтому использования слова "единый", ты должен избегать.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	93. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (91), 08-Дек-25, 16:36
	а как правильно рЕп или рЭп? Лично мне режет слух некоторые "правильные" ударения, о которых я узнал 3м классе от преподавателя русского языка, которая их (слова) тоже использовала с неправильным ударением, как все.., то что какойто маразматик так записал их в словарь - вообще не моя проблема, не проблема людей, это проблема маразматика, и тех кто ему слепо верит. > ты должен избегать > ты должен > должен А есть какието договора, подписи?
	Ответить | Правка | Наверх | Cообщить модератору

	94. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (94), 08-Дек-25, 16:41
	Судя по этой новости и прочим новостям то можно писать суппозиторий. Потому что всё равно получается через то самое место))
	Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

	6. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (6), 08-Дек-25, 11:51
	И про то что через эти дырки украдены миллионы долларов и добавлены сотни тысяч новых участников боинетов лучше помолчать.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	8. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от ПомидорИзДолины (?), 08-Дек-25, 11:58
	Откуда дровишки? Нам нужны пруфы, Билли.
	Ответить | Правка | Наверх | Cообщить модератору

	15. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от нах. (?), 08-Дек-25, 12:20
	да ну тебе фантазировать. ОТКУДА у пейсателей на нескучном (с лефтпадами) возьмутся какие-то миллионы долларов? Ну нащщот ботнетов ты, наверное, не ошибся. Вот клаудшмрази-то понравится.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Аноним (17), 08-Дек-25, 12:24
	Возможно они просто работают? В отличии от подобных болтунов) >  Вот клаудшмрази-то понравится. Бомбит? Это хорошо.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (23), 08-Дек-25, 12:45
	Да как обычно, раст-хейтеры раздувают из мухи слона
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	40. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Аноним (28), 08-Дек-25, 13:18
	Да не, конечно же, это другое.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (59), 08-Дек-25, 14:03
	И это только начало!
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	65. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+4 +/–
	Сообщение от Аноним (28), 08-Дек-25, 14:12
	В crates.io? Да, это только начало.
	Ответить | Правка | Наверх | Cообщить модератору

	24. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (24), 08-Дек-25, 12:51
	Проблема не в кол-ве скачиваний, а в системе карго.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	60. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Ананимус (?), 08-Дек-25, 14:02
	Она такая же, как и все остальные репозитории пакетов. К сожалению, других вариантов у нас особо нет -- страдать с несовместимыми версиями в десятке разных дистрибутивов всем надоело и назад это в бутылку уже не засунуть.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (76), 08-Дек-25, 15:15
	>Она такая же, как и все остальные репозитории пакетов. Нет не такая! В любом репозитарии ты можешь посмотреть установлен у тебя паленый пакет или нет. Подскажи, как проверить конкретный дистрибут на наличие этих паленых пакетов из топика в.т.ч в качестве зависимостей в других пакетах.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 13:11
	Заслуживает! Люмая новость про Раст заслуживает.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

7. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от ПомидорИзДолины (?), 08-Дек-25, 11:57
Странно, что до сих пор никто ничего интересного в build.rs не положил. Там простор для творчества - огромный! Потом ещё с proc макросами можно будет поэкспериментировать %~]
Ответить | Правка | Наверх | Cообщить модератору

	55. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от нах. (?), 08-Дек-25, 13:56
	"да ну брось, и так неплохо получилось!" (анекдот про покойничка-преферансиста)
	Ответить | Правка | Наверх | Cообщить модератору

16. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–2 +/–
Сообщение от Аноним (16), 08-Дек-25, 12:21
Это только начало. А то ли ещё будет...
Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

	43. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (43), 08-Дек-25, 13:36
	Речь о репозиториях пакетов всяких дистров.
	Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору

	45. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (-), 08-Дек-25, 13:41
	kernel не просто единственный. Но и про-бекдоренный) opennet.ru/opennews/art.shtml?num=61186 > Речь о репозиториях пакетов всяких дистров. Вон в единственном православном репозитории дебиана был пакет отправляющий пользовательский ввод китайцам по нешифрованному http. Пакет кстати не удалили) А еще была смешная история когда мейнтенер-дебиллиан полез корявками в шифрование и сломал его.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (-), 08-Дек-25, 13:54
	Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL opennet.ru/opennews/art.shtml?num=16523 Вкратце, мейнтенер закоментировал "две строки кода, чтобы предотвратить предупреждение компилятора об использовании не инициализированной переменной". Эти он понизил энтропию подаваемого на ГСЧ значения. Для взлома SSL сертификата нужно перебрать всего 32 тыс. вариантов значений. Бекдор в самом-самом официальном репозитории жил 18 месяцев. Согласись что растишкам до такого еще топать и топать.
	Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

21. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–3 +/–
Сообщение от Аноним (21), 08-Дек-25, 12:37
Может, Rust просто сливают? Расписываться в некомпетентности и брать обратно всё наболтанное - некрасиво, зато обходным путём - вполне...
Ответить | Правка | Наверх | Cообщить модератору

	22. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Фнон (-), 08-Дек-25, 12:40
	А как это сольет раст? У больших игроков (гугля, мелкомягкие) есть свои крейты и свои репозитории. Я бы предположил что это повод к закручиванию гаек - введут обязательную верификацию аккаунтов, привяжут к номеру т̶е̶л̶е̶ф̶о̶н̶а̶ паспорта.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (47), 08-Дек-25, 13:48
	100% к этому и ведут. Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой. Интернет перестал быть тем, чем являлся лет 10 назад.
	Ответить | Правка | Наверх | Cообщить модератору

	56. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (-), 08-Дек-25, 13:56
	> Скоро и в гитхабе и в остальных публичных репозиториях заставят проходить KYC с загрузкой скана айди и кручением головой. Правильно. Почему в магазине или банке меня встречает человек, у которого проверили паспорт. В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан? > Интернет перестал быть тем, чем являлся лет 10 назад. Вот и славно. А еще он перестал быть тем, чем являлся 20 лет назад)
	Ответить | Правка | Наверх | Cообщить модератору

	68. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (43), 08-Дек-25, 14:23
	> Почему в магазине или банке меня встречает человек, у которого проверили паспорт. В кафе у него еще и анализы взяли)), а в интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан? Почему? Потому что в системе ценностей местных инфантилов это является истинной СВОБОДОЙ™ и и независимостью от проклятых корпов!
	Ответить | Правка | Наверх | Cообщить модератору

	104. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (103), 08-Дек-25, 17:38
	>интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан? И не должен, поэтому у вас есть возможность проверить и собрать весь используемый код самостоятельно. В этом и смысл опенсорса, читайте лицензии. Люди пишут код для себя и выкладывают в интернет, а дальше это ВАША забота при его использовании. Вообще удивлен таким мещанским мышлением, что вам кто-то что-то должен, радуйтесь, что вообще бесплатный доступ к технологиям имеете. П.С. Я могу дворника из Новосибирска ругать за грязные дворы в Москве?
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

	106. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 17:43
	>>интернете я должен доверять коду анона, который мамой клянется что он на ЖинТан? > И не должен, поэтому у вас есть возможность проверить и собрать весь используемый код самостоятельно. В этом и смысл опенсорса, читайте лицензии. Ну так упомянутые крейты тоже были опенсорсными. > Люди пишут код для себя и выкладывают в интернет, а дальше это ВАША забота при его использовании. Да, но нет) Если я выложу в интернет код который делает что-то плохое, особенно с ложным описанием, то может и прилететь. Да и ИРЛ если кто-то будет делать голубцы с овном, то ему сделают атата даже несмотря на "я их раздавал бесплатно". > Вообще удивлен таким мещанским мышлением, что вам кто-то что-то должен, радуйтесь, что вообще бесплатный доступ к технологиям имеете. Ваше удивление - ваша проблема) > П.С. Я могу дворника из Новосибирска ругать за грязные дворы в Москве? Конечно, кто ж вам запретит.
	Ответить | Правка | Наверх | Cообщить модератору

	125. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 18:29
	Можешь ругать дворника из Душанбе.
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	121. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 18:25
	Для кафе он санитарную книжку купил.
	Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

	30. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от Аноним (24), 08-Дек-25, 13:06
	Это фича. Сначала делают "удобно", затем кричат безопасность в опасностЕ! В итоге по Интернет паспорту.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	36. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Фнон (-), 08-Дек-25, 13:14
	> Сначала делают "удобно", затем кричат безопасность в опасностЕ! Ну так всегда. Сначала делают как получилось, потом находят краевые случаи и подправляют. Примером море, например та же синька за рулем. Машины массово появились еще в начале 20 века, а в союзе наказание за запрет на вождение в нетрезвом виде ввели только в 50х. > В итоге по Интернет паспорту. Было бы неплохо. Некоторые паспорта так вообще нужно банить сразу.
	Ответить | Правка | Наверх | Cообщить модератору

	54. Скрыто модератором	+/–
	Сообщение от Аноним (47), 08-Дек-25, 13:54
	Интернет по паспорту задумка не плохая, ибо каждый начнет нести ответственность за сказанное. Проблема в том, что не все паспорта одинаково равны. Например, ззавтра твоя страна с кем-то сцепится и тебя "отменят" только по факту наличия паспорта. Вот я этнический украинец, родился в Украине и продил половину жизни там, но в 90-е переехал приняв гр. РФ, и теперь я страдаю со всеми, даже будучи украинцем.
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

	63. Скрыто модератором	–2 +/–
	Сообщение от Аноним (-), 08-Дек-25, 14:06
	> Интернет по паспорту задумка не плохая, ибо каждый начнет нести ответственность за сказанное. Согласен. > Проблема в том, что не все паспорта одинаково равны. Так было всегда. По моему паспорту я могу безвизово поехать в сотню стран, а по какому-то сингапурскому - уже в почти двести. > Например, ззавтра твоя страна с кем-то сцепится и тебя "отменят" только по факту наличия паспорта. Ты ж понимаешь что наличие паспорта значит принадлежность к общности? Т.е ты соучасник событий, даже если тебе это не нравится. > Вот я этнический украинец, родился в Украине и продил половину жизни там, но в 90-е переехал приняв гр. РФ, Тогда пиши "родился на украине". Ты читал что ты подписывал-говорил при принятии гражданства? Ну типа "добровольно и осознанно принимая гражданство Российской Федерации ... защищать свободу и независимость Российской Федерации"? Ну так защищай в интернете, как можешь. Как говорила моя бабушка "бачилы очи шо купувалы". > и теперь я страдаю со всеми, даже будучи украинцем. Ты смешиваешь национальность и гражданство. Это очень распространенный ход. Но РФ это многонациональное государство. И независимо от того якут ты или татарин, русский или чечен все получают санкции по паспорту.
	Ответить | Правка | Наверх | Cообщить модератору

	116. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Свободу Стрелкову (?), 08-Дек-25, 18:20
	Люди под предлогом безопасТности превратились в стадо, воспринимают псевдо-капчу от гугла и клаудфлары как должное, а некоторые даже понимая что это инструмент фингерпринтинга все равно мысленно с этим мирятся.
	Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

26. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–2 +/–
Сообщение от Аноним (26), 08-Дек-25, 12:54
пометили бы для обеспечения безопасности эти пакеты как unsafe.
Ответить | Правка | Наверх | Cообщить модератору

	81. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (73), 08-Дек-25, 15:06
	unsafe { crates.io }
	Ответить | Правка | Наверх | Cообщить модератору

35. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–3 +/–
Сообщение от Rev (ok), 08-Дек-25, 13:14
В случаях с JS/npm - это взлом кучи "разработчиков", и автоматическая заливка новых версий популярных пакетов со зловредом. В данном случае - это просто заливка злоумышленником новых пакетов. Разница огромна.
Ответить | Правка | Наверх | Cообщить модератору

	48. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (27), 08-Дек-25, 13:51
	В первом случае в кашу добавили ложку масла. Во втором случае в тарелку с ложкой масла положили кашу. Разница огромна.
	Ответить | Правка | Наверх | Cообщить модератору

37. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (28), 08-Дек-25, 13:16
Создаётся ощущение, что растoманы, в плане податливости социальной инженерии, податливее JSников будут.
Ответить | Правка | Наверх | Cообщить модератору

	154. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 21:23
	Где в новости вы увидели социальную инженерию?
	Ответить | Правка | Наверх | Cообщить модератору

44. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
Сообщение от аноним2 (?), 08-Дек-25, 13:38
и это везде тянут, в ядро, в питон, всюду, причём собрать rust в изолированной среде уже нельзя, оно для сборки интернет требует, из которого загружает всякую малварь диалог с гопатым о сборке """ получается что с версии 1.81.0 https://github.com/rust-lang/rust/blob/1.81.0/src/tools/tidy... собрать полноценный rust из официального архива релиза практически невозможно. Да, по сути, ты правильно понял. 😅 Начиная с Rust 1.81, процесс сборки сильно ужесточили в части управления зависимостями: x.py и bootstrap Cargo теперь почти всегда используют --frozen для root-сборки, чтобы гарантировать воспроизводимость. Любые изменения в исходниках, патчи или локальные зависимости требуют, чтобы Cargo.lock точно соответствовал состоянию исходников, иначе сборка падает с ошибкой вроде: the lock file ... needs to be updated but --frozen was passed to prevent this При оффлайн-сборке это особенно болезненно, потому что обновить lock через cargo update без сети невозможно. ⚠️ Итог: собрать Rust из официального релиза без доступа к сети и без точного lock-файла, если есть локальные патчи, становится практически нереально. Фактически, это означает, что для воспроизводимой оффлайн-сборки: Нужно заранее подготовить все актуальные Cargo.lock для bootstrap, library и инструментов. Либо патчить x.py, чтобы убрать --frozen при оффлайн root-сборке — но это официально не поддерживается. """ нормальные программы можно собрать из исходников изолированно с помощью gcc, даже go, go1.4 -> go1.17 и тд, но не rust, это особая ржавчина в СПО
Ответить | Правка | Наверх | Cообщить модератору

	50. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (27), 08-Дек-25, 13:53
	Качай deb-src. Они там всё патчат так, чтобы поместить все зависимости для оффлайн сборки.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (100), 08-Дек-25, 17:11
	Собирал rust-nightly во FreeBSD, никаких проблем не вижу. Все исходники тянутся штатно системой портов (а не сборкой раста), сборка успешно проходит, как обычно, в джейле без сети. Патчи никаладываются и никаких изменений в Cargo.lock не требуют.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	126. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (126), 08-Дек-25, 18:34
	Ничего, gccrs делается на замену этого недоразумения.
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

46. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–2 +/–
Сообщение от Аноним (47), 08-Дек-25, 13:44
Нафига использовать низкоуровневый язык для работы с криптой? Пайтона за глаза хватит, говорю как профессиональный блокчейн-разработчик. Хотя, вон, в Солану зачем-то протянули Раст 💩🫃🤦‍♂️
Ответить | Правка | Наверх | Cообщить модератору

	51. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (27), 08-Дек-25, 13:53
	> Пайтона за глаза хватит Слишком мейнстрим. Не модно.
	Ответить | Правка | Наверх | Cообщить модератору

	80. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (80), 08-Дек-25, 15:02
	Ну так Python нынче модный язык.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (73), 08-Дек-25, 16:19
	На модном языке ныне в блендере уже троянчики поставляют в бленд файлах.
	Ответить | Правка | Наверх | Cообщить модератору

62. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
Сообщение от Фонтимос (?), 08-Дек-25, 14:03
> Разработчики языка Rust предупредили о выявлении в репозитории Читается как роспись в собственном бессилии. Т.е. предупредили- молодцы, а дальше что? Проверять антивирусом, удалять вредоносы или что? А если эти пакеты стоят в зависимостях, что делать? Вредонос загрузили в апреле, с апреля могло собраться много чего и что теперь пересобирать все? А пользователям что делать, удалять все пакеты с апреля? Ни хрена не понятно.
Ответить | Правка | Наверх | Cообщить модератору

	64. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Аноним (-), 08-Дек-25, 14:09
	> Читается как роспись в собственном бессилии. Скорее как трамплин к следующим решениям. > Т.е. предупредили- молодцы, а дальше что? Думаю введут верификацию. Скорее всего разделят на 2 части: вот это проверенные пакеты, а это от васянов. Под этой новостью мы конечно увидим комменты "Свободу ущимляют!!! не могу от анона код постить!!".
	Ответить | Правка | Наверх | Cообщить модератору

71. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (71), 08-Дек-25, 14:35
Вот кстати пример того, как анти-иичники делают мир хуже. Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию натравливать ии-ревьюера, который бы искал малварь. Но ритарды начнут орать, заявлять о том, что они покидают коммьюнити, хлопать дверьми и так далее. Поэтому - жрите. И, желательно, подавитесь - что бы остались только нормальные люди, а не сумасшедшие активисты.
Ответить | Правка | Наверх | Cообщить модератору

	77. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+3 +/–
	Сообщение от Аноним (-), 08-Дек-25, 14:58
	> Любой, кто пользуется ии сразу сказал бы: давайте на каждую публикацию > натравливать ии-ревьюера, который бы искал малварь. После чего оно начнет триггериться на нормальный код, зарубая нормальные рабочие процессы - и конечно не заметит малварь, ибо малварь пишут не совсем уж идиоты - и они проверяют срабатывания на своем коде, внезапно. А гениальные анонимы думают что можно решить проблему одной кнопкой "сделать збс" да еще не тратя людские ресурсы и бабки на все это. > что бы остались только нормальные люди, а не сумасшедшие активисты. Судя по спичу, вам пора уже последовать своему совету. Ибо любой кто работал с AI знает что это довольно глюкавые заразы, которые могут на раз накормить гуано с умным видом. При том кажется вы его конкретно покушали. И вам пора - в зоопарк. Экспонатом для развлечения AI работать.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Sm0ke85 (ok), 08-Дек-25, 15:24
	*Чаю господину* Метко и в точку)))
	Ответить | Правка | Наверх | Cообщить модератору

	129. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (126), 08-Дек-25, 18:37
	>давайте на каждую публикацию натравливать ии-ревьюера, который ... ничего бы не нашёл, потому что в комментариях написали бы не обращать внимания на код ниже.
	Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

	135. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (110), 08-Дек-25, 18:49
	Попросил chatGPT помочь восстановить в памяти цитату Платона - имя, естественно, не называл - по подсказкам: Он предложил вариант. Я ему сказал, что это _Не_ТА_Цитата_ и дал уточнения. Он стал меня убеждать, что его цитата подходит и стал подстраивать свои ответы под мои уточнения. Но я то знал, что эта не та цитата. В результате после 5 минут препирательств, я нашел цитату через список поисковика за 5 секунд. Написал ему, что вот правильный ответ. Так он начал спорить, что цитаты могут ошибочно приписываться... Я написал, что он проиграл и оспаривает истину.
	Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

	155. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (155), 08-Дек-25, 22:26
	Ну так ChatGPT сделал именно то, на что его и тренировали. Он создал у вас впечатление, что вы общаетесь с человеком. Тупым и упёртым, и глупым - но человеком. Который с вами спорит и отстаивает собственное мнение. Если вам нужны факты - так для этого придумали поисковики (и библиотеки). А тут вам дали возможность пообщаться.
	Ответить | Правка | Наверх | Cообщить модератору

75. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (-), 08-Дек-25, 14:55
> Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал > код для поиска и отправки на внешний сервер конфиденциальных данных Это shai-hulud-rust на самом деле, но ему хвост обрубили.
Ответить | Правка | Наверх | Cообщить модератору

	86. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+2 +/–
	Сообщение от Хру (?), 08-Дек-25, 15:27
	Так эта... если червяку обрубить хвост, то получится два червяка :)
	Ответить | Правка | Наверх | Cообщить модератору

	152. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 21:19
	> Так эта... если червяку обрубить хвост, то получится два червяка :) Тут походу хвост отрубили даже трижды - червяков 4 было :)
	Ответить | Правка | Наверх | Cообщить модератору

84. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
Сообщение от ваноним (-), 08-Дек-25, 15:24
лучший способ научиться языку - не пользоваться магазинчиками.
Ответить | Правка | Наверх | Cообщить модератору

88. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним Анонимович Анонимов (?), 08-Дек-25, 16:16
А знаете в каком репозитории никогда не находили уязвимостей? В Сишном. Догадываетесь почему?
Ответить | Правка | Наверх | Cообщить модератору

	90. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	–1 +/–
	Сообщение от Аноним (-), 08-Дек-25, 16:21
	> Догадываетесь почему? Потому что уязвимость будет прям в сишном коде :)
	Ответить | Правка | Наверх | Cообщить модератору

	137. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 19:04
	Потому, что, как такового, сишного репозитория нет. У каждого сишного проекта есть собственный репозиторий.
	Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

	139. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 19:10
	> Потому, что, как такового, сишного репозитория нет. У каждого сишного проекта есть собственный репозиторий. Зато есть библиотеки. Типа ЖЛибц. Ну которая предсказуемо дырявая "В стандартной Си-библиотеке Glibc выявлена уязвимость (CVE-2025-4802), позволяющая добиться выполнения кода с привилегиями другого пользователя" Или как libxml2. Которая предсказуемо дырявая и "используется как зависимость в более чем 800 пакетах из состава Ubuntu." Или как... да тысячи их. От либ по обработке картинок (дырявая libwebp передает привет), до шрифтов ( FreeType тоже дырявый, кто ж мог подумать).
	Ответить | Правка | Наверх | Cообщить модератору

95. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
Сообщение от Аноним (95), 08-Дек-25, 16:55
О да сейчас бы юзать рандомные пакеты которые в первый раз видишь
Ответить | Правка | Наверх | Cообщить модератору

	99. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (99), 08-Дек-25, 17:10
	Ты не поверишь. Нарождающееся поколение разработчиков так и делают. Специально для них придумали делать привязки языков к языковым помойкам. Новость как раз о том, что разработчики языка сказали, что знают о проблеме и, возможно, будут о ней думать.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (73), 08-Дек-25, 17:29
	> будут о ней думать Думать, конечно, хорошо, но надо ещё что-то делать при этом.
	Ответить | Правка | Наверх | Cообщить модератору

	101. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (-), 08-Дек-25, 17:13
	Крейты специально придуманы для того, чтобы люди юзали незнакомые пакеты.
	Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

	109. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+1 +/–
	Сообщение от Аноним (-), 08-Дек-25, 17:51
	> Крейты специально придуманы для того, чтобы люди юзали незнакомые пакеты. А либы придуманы для того, чтобы люди юзали знакомые либы. Чтобы от знакомого и родного libxml2, с знакомыми дыpaми зависило 600+ пакетов в репе.
	Ответить | Правка | Наверх | Cообщить модератору

111. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
Сообщение от Аноним (111), 08-Дек-25, 18:07
Вирусы будут появляться в любом случае. Важнее как организована защита самой системы пакетов. Если уж бороться за звание безопасного языка, то и запретить указывать зависимости без указания хэша.
Ответить | Правка | Наверх | Cообщить модератору

	138. "В Rust-репозитории crates.io выявлены четыре вредоносных пак..."	+/–
	Сообщение от Аноним (28), 08-Дек-25, 19:05
	Гарантирует безопастность безопастности.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема