恶意 Rust 包瞄准 Web3 开发者窃取加密货币

网络安全研究人员发现,一个名为 evm-units 的恶意 Rust 包(crate)试图从毫无戒备的开发者处窃取加密货币。该恶意包虽已被 Rust 编程语言官方公共包注册中心下架,但在此之前已被下载 7257 次。

恶意包伪装与传播

同一作者发布的另一个包 uniswap-utils 看似无害,但其依赖 evm-units 并在文件中调用该恶意包。据 crates.io 团队透露,该包在被下载 7441 次后也被移除,相关作者账户已被禁用。

Socket 威胁研究人员分析指出,evm-units 伪装成 EVM 版本辅助工具(即帮助开发者在编译或分析智能合约时选择、管理或推理不同版本以太坊虚拟机的工具)。Socket 威胁研究员 Olivia Brown 解释称:"该包看似返回以太坊版本号,受害者因此难以察觉异常。"

隐蔽攻击机制

该恶意包在后台执行以下操作:

  1. 解码其中编码的 URL
  2. 检测底层操作系统(Linux、macOS 或 Windows)
  3. 下载并保存针对特定操作系统的脚本/文件至系统临时文件夹
  4. 执行该脚本

Brown 强调:"整个过程没有窗口、没有输出、没有日志记录,受害者完全无法察觉。"该脚本可运行任意命令或安装后续有效载荷,"实现静默的第二阶段感染"。

在 Windows 系统上执行脚本前,恶意软件会检测奇虎 360 公司的 360 安全卫士是否存在。根据检测结果,恶意软件会直接调用 PowerShell 或通过运行隐藏 PowerShell 脚本的 VBScript 来启动攻击。

针对性攻击特征

Brown 指出:"针对奇虎 360 的检测是罕见且明确的中国针对性指标,因为该公司是中国领先的互联网企业。这与加密货币窃取的特征相符,亚洲是全球最大的零售加密货币活动市场之一。"

结合这两个包分别伪装成 EVM 实用工具和 Uniswap 辅助库(用于处理多链上的 Uniswap 池地址),其攻击目标显而易见:从事去中心化应用开发的开发者群体。

相关推荐
花褪残红青杏小19 小时前
Rust图像处理第11节-故障风 RGB 通道偏移:错位错色制造电子故障
rust·webassembly·图形学
花褪残红青杏小20 小时前
Rust图像处理第10节-浮雕/雕刻滤镜:邻域差值生成凹凸效果
rust·webassembly·图形学
Rockbean20 小时前
10分钟Solana-性能web3-2.4 Rust 编程基础三:结构体、枚举、错误处理与集合
rust·web3·智能合约
doiito1 天前
【Agent Harness】Gliding Horse 上下文感知与智能压缩:让 Agent 的“注意力”永不偏移
ai·rust·架构设计·系统设计·ai agent
花褪残红青杏小2 天前
Rust图像处理第9节-Sobel 边缘检测:第一个真正用卷积的算法
rust·webassembly·图形学
doiito2 天前
【Agent Harness】Gliding Horse L2 作战地图深度优化:给多 Agent 上下文装上“精准导航”
ai·rust·架构设计·系统设计·ai agent
花褪残红青杏小2 天前
Rust图像处理第8节-暗角 & 复古胶片特效:四周衰减中心高亮
rust·webassembly·图形学
独孤留白3 天前
从C到Rust:Rust 的 Trait 不是Interface,那是什么?
rust