crates.io：恶意 crates finch-rust 和 sha-rust

Source: Rust Blog

摘要

2025年12月5日，crates.io 团队收到了来自 Socket Threat Research Team 的 Kush Pandya 的通知，称有两个恶意 crate 试图通过在现有 finch crate 上添加对恶意 crate 的依赖来制造混淆，该恶意 crate 会进行数据外泄。

涉及的 crate

• finch-rust – 1 个版本，发布于 2025 年 11 月 25 日，下载量 28 次，依赖于 sha-rust
• sha-rust – 8 个版本，发布于 2025 年 11 月 20 日至 11 月 25 日之间，下载量 153 次

已采取的措施

用户 face-lessssss 被立即禁用，随后这些 crate 也从 crates.io 上被删除。恶意 crate 文件已被保留以供进一步分析。

• 删除操作于 12 月 5 日 15:52 UTC 执行。
• 相关仓库已向 GitHub 举报，相关账户也已在 GitHub 上被移除。

分析

Socket has published their analysis in a blog post。

这些 crate 在 crates.io 上没有下游依赖者，且没有证据表明它们被自动镜像和扫描服务之外的用户下载。

致谢

感谢来自 Socket Threat Research Team 的 Kush Pandya 报告这些 crate。我们也感谢 crates.io 团队的 Carol Nichols 和 Rust Foundation 的 Adam Harvey 在响应过程中的协助。