Rust Crate độc ​​hại cung cấp mã độc cho các hệ thống nhà phát triển Web3

[T-X]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một gói Rust độc hại có khả năng nhắm mục tiêu vào các hệ thống Windows, macOS và Linux, đồng thời có chức năng độc hại để thực thi lén lút trên máy của nhà phát triển bằng cách ngụy trang thành công cụ trợ giúp đơn vị Máy ảo Ethereum ( EVM ).

Gói Rust, có tên " evm-units ", được tải lên   Đăng nhập để xem liên kết vào giữa tháng 4 năm 2025 bởi một người dùng có tên " ablerust ", thu hút hơn 7.000 lượt tải xuống trong tám tháng qua. Một gói khác do cùng tác giả tạo ra, " uniswap-utils ", liệt kê "evm-units" là một gói phụ thuộc. Gói này đã được tải xuống hơn 7.400 lần. Các gói này hiện đã bị xóa khỏi kho lưu trữ gói.

"Dựa trên hệ điều hành của nạn nhân và việc phần mềm diệt virus Qihoo 360 có đang chạy hay không, gói tin sẽ tải xuống một payload, ghi vào thư mục tạm thời của hệ thống và âm thầm thực thi nó", nhà nghiên cứu bảo mật Olivia Brown của Socket cho biết trong một báo cáo. "Gói tin dường như trả về số phiên bản Ethereum, vì vậy nạn nhân không hề hay biết."

Một khía cạnh đáng chú ý của gói này là nó được thiết kế rõ ràng để kiểm tra sự hiện diện của tiến trình "qhsafetray.exe", một tệp thực thi liên quan đến 360 Total Security, một phần mềm diệt vi-rút do nhà cung cấp bảo mật Trung Quốc Qihoo 360 phát triển.

Cụ thể, gói này được thiết kế để gọi một hàm có vẻ vô hại có tên là "get_evm_version()", hàm này giải mã và kết nối đến một URL bên ngoài ("download.videotalks[.]xyz") để lấy tải trọng giai đoạn tiếp theo tùy thuộc vào hệ điều hành mà nó đang chạy:

    Trên Linux, nó tải xuống một tập lệnh, lưu vào /tmp/init và chạy nó ở chế độ nền bằng lệnh nohup, cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn
    Trên macOS, nó tải xuống một tệp có tên init và chạy nó bằng osascript ở chế độ nền với lệnh nohup
    Trên Windows, nó tải xuống và lưu tải trọng dưới dạng tệp tập lệnh PowerShell ("init.ps1") trong thư mục tạm thời và kiểm tra các tiến trình đang chạy để tìm "qhsafetray.exe" trước khi gọi tập lệnh

Trong trường hợp tiến trình không hiện diện, nó sẽ tạo một trình bao bọc Visual Basic Script chạy một tập lệnh PowerShell ẩn mà không có cửa sổ hiển thị. Nếu tiến trình chống vi-rút bị phát hiện, nó sẽ thay đổi một chút luồng thực thi bằng cách trực tiếp gọi PowerShell.

"Việc tập trung vào Qihoo 360 là một chỉ báo nhắm mục tiêu hiếm hoi, rõ ràng, tập trung vào Trung Quốc, bởi vì đây là một công ty internet hàng đầu của Trung Quốc", Brown nói. "Nó phù hợp với xu hướng trộm cắp tiền điện tử, vì châu Á là một trong những thị trường toàn cầu lớn nhất cho hoạt động tiền điện tử bán lẻ."

Các tài liệu tham khảo về EVM và Uniswap, một giao thức trao đổi tiền điện tử phi tập trung được xây dựng trên chuỗi khối Ethereum, cho thấy sự cố chuỗi cung ứng này được thiết kế để nhắm vào các nhà phát triển trong không gian Web3 bằng cách chuyển các gói thành tiện ích liên quan đến Ethereum.

"Ablerust, tác nhân đe dọa chịu trách nhiệm cho mã độc, đã nhúng một trình tải giai đoạn hai đa nền tảng vào bên trong một hàm tưởng chừng như vô hại", Brown nói. "Tệ hơn nữa, phần phụ thuộc này còn được đưa vào một gói được sử dụng rộng rãi khác (uniswap-utils), cho phép mã độc tự động thực thi trong quá trình khởi tạo."