恶意Rust包在Crates.io窃取加密货币钱包密钥

Rust官方包仓库Crates.io上发现两个恶意软件包，通过扫描开发者系统窃取加密货币私钥和其他敏感信息，累计下载量近8500次。

Rust包通过Crates.io中央仓库分发，这相当于JavaScript的npm、Python的PyPI和Ruby的Ruby Gems。这两个名为faster_log和async_println的恶意包于5月25日发布在平台上，分别被下载7200次和1200次。

代码安全公司Socket发现了这些恶意包并于9月24日向Crates.io报告。平台随后删除了这两个包并暂停了发布账户’rustguruman’和’dumbnbased’。

针对加密货币密钥

攻击者利用日志文件打包功能扫描敏感信息。隐藏在恶意包中的有效载荷在运行时执行，扫描受害者环境和项目源文件中的以下三类内容：

• 类似以太坊私钥的十六进制字符串
• 类似Solana密钥/地址的Base58字符串
• 可能隐藏密钥或种子的括号内字节数组

当代码找到匹配项时，会将其与文件路径和行号打包，并将数据外泄到硬编码的Cloudflare Worker URL地址。Socket确认该端点在测试期间处于活动状态并接受POST请求，指出该主机不是官方的Solana RPC端点。

Crates.io在其公告中指出，恶意包在平台上没有下游依赖包，两个被禁发布者也没有提交其他项目，因此攻击现已清除。

下载了任一包的开发者需要执行系统清理并将数字资产转移到新钱包以防被盗。在下载Rust包之前，开发者应验证发布者的声誉。另一个防御措施是仔细检查构建说明，确保不会自动获取恶意包。