crates.io：恶意包 evm-units 和 uniswap-utils

2025年12月3日 · Walter Pearce
代表 crates.io 团队

摘要

12月2日，crates.io 团队收到了来自 Socket 威胁研究团队的 Olivia Brown 的通知，发现了两个恶意包，这些包在下载时可能试图窃取加密货币。
这些包分别是：

• evm-units - 2025年4月发布了13个版本，被下载了7257次。
• uniswap-utils - 2025年4月发布了14个版本，被下载了7441次，并依赖 evm-units 作为依赖项。

采取的措施

涉事用户 ablerust 的账户已被立即禁用，相关包随后也从 crates.io 上删除。我们保留了这些恶意包的文件以供进一步分析。
删除操作于 UTC 时间 12月2日 22:01 执行。

分析

Socket 已在博客文章中发布了他们的分析报告。
这些包在 crates.io 上没有下游依赖项。

致谢

我们感谢 Socket 威胁研究团队的 Olivia Brown 报告了这些包。同时，我们也要感谢 crates.io 团队的 Carol Nichols 以及 Rust 基金会的 Walter Pearce 和 Adam Harvey 在响应过程中提供的帮助。