针对Web3开发者的恶意Rust软件包被曝光

一个旨在窃取毫无戒心的开发者的加密货币的恶意Rust crate（软件包）名为evm-units，已从Rust编程语言的官方公共软件包注册表中撤下，但在被撤下前已被下载7257次。

同一位作者发布的另一个软件包（uniswap-utils）看起来是良性的，但它依赖于evm-units并在其某个文件中调用它。crates.io团队分享说，该软件包在被下载7441次后也被移除。该软件包作者账户已被禁用。

这两个恶意软件包被Socket的威胁研究人员标记，他们分析后得出结论，evm-units冒充了一个EVM版本助手（即一种帮助开发者在编译或分析智能合约时选择、管理或推理不同以太坊虚拟机版本的工具）。

Socket威胁研究员Olivia Brown解释说：“该软件包看起来会返回以太坊版本号，因此受害者毫不知情。”

然而，在后台，该软件包还会：解码其中编码的URL，检查底层操作系统（Linux、macOS或Windows），在系统的临时文件夹中下载并保存一个特定于操作系统的脚本/文件，并运行它。

Brown指出：“没有窗口，没有输出，没有打印日志，因此受害者永远不会看到任何东西。”该脚本可以运行任何命令或安装后续有效负载，“从而实现无声的第二阶段感染。”

在Windows机器上运行脚本之前，恶意软件会检查是否存在奇虎360公司的360 Total Security杀毒软件。根据其存在与否，恶意软件通过直接调用Powershell或通过运行隐藏Powershell脚本的VBScript来启动脚本。

Brown指出：“这种对奇虎360的关注是一个罕见的、明确的、以中国为重点的攻击指标，因为它是一家领先的中国互联网公司。这符合加密盗窃的特征，因为亚洲是全球零售加密货币活动的最大市场之一。”

再加上这两个crate冒充了EVM实用程序和Uniswap助手库（用于处理多个链上的Uniswap池地址），攻击目标似乎很明显：从事去中心化应用程序开发的开发者。

订阅我们的突发新闻电子邮件提醒，永远不错过最新的数据泄露、漏洞和网络安全威胁。在此订阅！