crates.io:恶意包 finch-rust 与 sha-rust
2025年12月5日 · Carol Nichols 与 Adam Harvey,代表 crates.io 团队
摘要
2025年12月5日,来自Socket威胁研究团队的Kush Pandya向crates.io团队报告了两个恶意包。这些包试图通过名称混淆现有合法的finch包,并引入一个用于数据窃取的恶意包作为依赖。
这两个包分别是:
finch-rust- 1个版本,发布于2025年11月25日,下载28次,其依赖为sha-rust。sha-rust- 8个版本,发布于2025年11月20日至25日之间,下载153次。
已采取的措施
涉事用户 face-lessssss 的账户已被立即停用,相关恶意包随后也已从crates.io上删除。我们保留了这些恶意包的文件以供进一步分析。
删除操作于协调世界时12月5日15:52执行。
我们已向GitHub报告了相关的代码仓库,该账户在GitHub上也已被移除。
分析
Socket已在其博客文章中发布了详细的分析报告。 这些恶意包在crates.io上没有其他下游包依赖它们,并且没有证据表明这些包在自动化镜像和扫描服务之外被下载过。
致谢
感谢来自Socket威胁研究团队的Kush Pandya报告了这些恶意包。同时,我们要感谢来自crates.io团队的Carol Nichols和来自Rust基金会的Adam Harvey在此次事件响应中提供的协助。