Сразу два вредоносных пакета, насчитывающие около 8500 скачиваний, обнаружены в официальном репозитории Rust. Малварь сканировала системы разработчиков для кражи приватных криптовалютных ключей и других секретов.
Пакеты Rust (они же крейты — crates) распространяются через Crates.io — аналог npm для JavaScript, PyPI для Python и Ruby Gems для Ruby.
Специалисты компании Socket сообщают, что вредоносные крейты faster_log и async_println были опубликованы на платформе 25 мая 2025 года и скачаны 7200 и 1200 раз соответственно.
В настоящее время с платформы уже удалены оба пакета, а также 24 сентября были заблокированы опубликовавшие их аккаунты — rustguruman и dumbnbased.
Исследователи рассказывают, что крейты маскировались под легитимный пакет fast_log, скопировав его README-файл, метаданные репозитория и сохранив функциональность логирования, чтобы снизить возможные подозрения жертв. При этом атакующие использовали функциональность упаковки лог-файлов для поиска конфиденциальной информации.
Пейлоад, скрытый во вредоносных пакетах, выполнялся во время работы программы и сканировал окружение жертвы и исходные файлы проекта в поисках трех типов данных:
- hex-строки, похожие на приватные ключи Ethereum;
- base58-строки, напоминающие ключи/адреса Solana;
- массивы байтов в скобках, которые могут скрывать ключи и seed-фразы.
Если совпадения находились, малварь упаковывала их вместе с путем к файлу и номером строки, а затем отправляла данные на жестко закодированный URL Cloudflare Worker (mainnet[.]solana-rpc-pool[.]workers[.]dev). Этот эндпоинт был активен и принимал POST-запросы во время проведения исследования, однако отмечается, что он не является официальным RPC-эндпоинтом Solana.
Представители Crates.io сообщили, что у вредоносных пакетов не было зависимых downstream-крейтов, а заблокированные пользователи не загружали других проектов. Однако разработчикам, использовавшим любой из крейтов, следует провести очистку системы и перевести свои цифровые активы в новые кошельки для предотвращения кражи.
Исследователи напоминают, что перед загрузкой Rust-крейта разработчикам следует проверить репутацию издателя. Также рекомендуется дважды проверять инструкции по сборке, чтобы убедиться, что они не загружают вредоносные пакеты автоматически.
