Новый виток макровирусов?

Для работы примера требуется наличие в VSCode плагина rust-analyzer (обвязка над штатным компилятором rustc) и наличие в системе инструментария для работы с кодом на языке Rust. 

Что удивительного в том, что исполняемый код имеет доступ к ресурсам с правами пользователя от которого он запускается?

Что он запускается сам, без явной команды запуска. Достаточно открыть для чтения то, что кажется текстовым файлом.

Там VSCode запускает растовский макрос просто при открытии проекта, а сам макрос крадет ssh ключи. То есть ты тупо открыл посмотреть исходники, а ключи уже всё)

А это отличается от использования сценариев сборки другими инструментами? Если оставить в стороне, что что-то выполняется не совсем явно, как в случае с rust-analyzer.

goingUp

Сборки нету, «злоумышленый» код запускается просто при открытии проекта. VSCode это делает для анализа кода.

Это понятно, но изначально внимание было на совершение вредоносных действий во время компиляции кода. И опять же упоминается cargo build.

То же самое (запуск вредоносного кода) происходит при сборке проекта. Но одно дело сборка, в сборочный скрипт можно напихать всякое (как и в любой другой скрипт), другое дело, когда ты ничего не запускал, а просто открыл исходники на посмотреть (нету ли там вредоносного кода, лол)

упоминается cargo build.

Человек хотел выяснить, сколько нехороших вещей можно сделать под видом сборки проекта. Оказалось, даже запускать сборку не нужно.

он должен запускаться с порезанными правами на доступ ко всему, кроме того, что ему необходимо для работы

Ах да, стандартная юниксовая система прав доступа - сакс

я уже хотел пошутить на опеннете, что теперь бедным хакерам придется дописывать за недопрограммистами стыренный у них код:)

Ну вот такой лорчик, не набросил, что в расте нашли уязвимость, темой не заинтересовались)

Ну, не удивительно, что некоторые на него тут яростно дрочат. Как можно не дрочить на дырявую мс макросню, она же просто обречена на успех.