网络安全研究人员发现,一个名为 evm-units 的恶意 Rust 包(crate)试图从毫无戒备的开发者处窃取加密货币。该恶意包虽已被 Rust 编程语言官方公共包注册中心下架,但在此之前已被下载 7257 次。
恶意包伪装与传播
同一作者发布的另一个包 uniswap-utils 看似无害,但其依赖 evm-units 并在文件中调用该恶意包。据 crates.io 团队透露,该包在被下载 7441 次后也被移除,相关作者账户已被禁用。
Socket 威胁研究人员分析指出,evm-units 伪装成 EVM 版本辅助工具(即帮助开发者在编译或分析智能合约时选择、管理或推理不同版本以太坊虚拟机的工具)。Socket 威胁研究员 Olivia Brown 解释称:"该包看似返回以太坊版本号,受害者因此难以察觉异常。"
隐蔽攻击机制
该恶意包在后台执行以下操作:
- 解码其中编码的 URL
- 检测底层操作系统(Linux、macOS 或 Windows)
- 下载并保存针对特定操作系统的脚本/文件至系统临时文件夹
- 执行该脚本
Brown 强调:"整个过程没有窗口、没有输出、没有日志记录,受害者完全无法察觉。"该脚本可运行任意命令或安装后续有效载荷,"实现静默的第二阶段感染"。
在 Windows 系统上执行脚本前,恶意软件会检测奇虎 360 公司的 360 安全卫士是否存在。根据检测结果,恶意软件会直接调用 PowerShell 或通过运行隐藏 PowerShell 脚本的 VBScript 来启动攻击。
针对性攻击特征
Brown 指出:"针对奇虎 360 的检测是罕见且明确的中国针对性指标,因为该公司是中国领先的互联网企业。这与加密货币窃取的特征相符,亚洲是全球最大的零售加密货币活动市场之一。"
结合这两个包分别伪装成 EVM 实用工具和 Uniswap 辅助库(用于处理多链上的 Uniswap 池地址),其攻击目标显而易见:从事去中心化应用开发的开发者群体。