Bezpečnostní výzkumníci v oblasti kybernetické bezpečnosti objevili škodlivý balíček pro programovací jazyk Rust, který je schopen cílit na systémy Windows, macOS a Linux a obsahuje škodlivou funkcionalitu pro nenápadné spuštění na počítačích vývojářů tím, že se maskuje jako nástroj pro práce s Ethereum Virtual Machine (EVM).

Rust balíček s názvem „evm-units“ byl nahrán na crates.io v polovině dubna 2025 uživatelem s přezdívkou „ablerust“ a za posledních osm měsíců přilákal více než 7 000 stažení. Další balíček vytvořený stejným autorem, „uniswap-utils“, měl „evm-units“ uvedený jako závislost. Byl stažen více než 7 400krát. Balíčky byly od té doby z repozitáře odstraněny.

„Na základě operačního systému oběti a toho, zda běží antivirus Qihoo 360, balíček stáhne payload, zapíše ho do systémového dočasného adresáře a tiše ho spustí,“ uvedla v reportu Olivia Brown, bezpečnostní výzkumnice ze společnosti Socket. „Balíček se zdá vracet číslo verze Etherea, takže oběť nic netuší.“

Pozoruhodným aspektem balíčku je, že je explicitně navržen tak, aby kontroloval přítomnost procesu „qhsafetray.exe“, spustitelného souboru spojeného s 360 Total Security, antivirovým softwarem vyvinutým čínským bezpečnostním dodavatelem Qihoo 360.

Konkrétně je balíček navržen tak, aby vyvolal zdánlivě neškodnou funkci s názvem „get_evm_version()“, která dekóduje a kontaktuje externí URL („download.videotalks[.]xyz“) pro stažení další fáze payloadu v závislosti na operačním systému, na kterém běží:

• Na Linuxu stáhne skript, uloží ho do /tmp/init a spustí ho na pozadí pomocí příkazu nohup, což útočníkovi umožní získat plnou kontrolu
• Na macOS stáhne soubor s názvem init a spustí ho pomocí osascript na pozadí s příkazem nohup
• Na Windows stáhne a uloží payload jako soubor PowerShell skriptu („init.ps1″) do dočasného adresáře a zkontroluje běžící procesy na přítomnost „qhsafetray.exe“, než vyvolá skript

V případě, že proces není přítomen, vytvoří obal Visual Basic Script, který spustí skrytý PowerShell skript bez viditelného okna. Pokud je detekován antivirový proces, mírně změní průběh spuštění přímým vyvoláním PowerShellu.

„Toto zaměření na Qihoo 360 je vzácný, explicitní indikátor cílení na Čínu, protože jde o přední čínskou internetovou společnost,“ řekla Brown. „Odpovídá to profilu krádeže kryptoměn, protože Asie je jedním z největších globálních trhů pro maloobchodní aktivity s kryptoměnami.“

Reference na EVM a Uniswap, decentralizovaný protokol pro výměnu kryptoměn postavený na blockchainu Ethereum, naznačují, že incident v dodavatelském řetězci je navržen tak, aby cílil na vývojáře v prostoru Web3 tím, že vydává balíčky za nástroje související s Ethereem.

„Ablerust, aktér hrozby odpovědný za škodlivý kód, vložil multiplatformní zavaděč druhé fáze do zdánlivě neškodné funkce,“ uvedla Brown. „Horší je, že závislost byla vtažena do dalšího široce používaného balíčku (uniswap-utils), což umožnilo automatické spuštění škodlivého kódu během inicializace.“

Zdroj: thehackernews.com