В Rust-репозитории Crates[.]io нашли два вредоносных пакета - «Новости»

  • 14:30, 27-сен-2025
  • Новости / Вёрстка / Преимущества стилей / Изображения / Типы носителей
  • Аркадий
  • 0

Сразу два вредоносных пакета, насчитывающие около 8500 скачиваний, обнаружены в официальном репозитории Rust. Малварь сканировала системы разработчиков для кражи приватных криптовалютных ключей и других секретов.


Пакеты Rust (они же крейты — crates) распространяются через Crates.io — аналог npm для jаvascript, PyPI для Python и Ruby Gems для Ruby.


Специалисты компании Socket сообщают, что вредоносные крейты faster_log и async_println были опубликованы на платформе 25 мая 2025 года и скачаны 7200 и 1200 раз соответственно.


В настоящее время с платформы уже удалены оба пакета, а также 24 сентября были заблокированы опубликовавшие их аккаунты — rustguruman и dumbnbased.





Исследователи рассказывают, что крейты маскировались под легитимный пакет fast_log, скопировав его README-файл, метаданные репозитория и сохранив функциональность логирования, чтобы снизить возможные подозрения жертв. При этом атакующие использовали функциональность упаковки лог-файлов для поиска конфиденциальной информации.


Пейлоад, скрытый во вредоносных пакетах, выполнялся во время работы программы и сканировал окружение жертвы и исходные файлы проекта в поисках трех типов данных:



  • hex-строки, похожие на приватные ключи Ethereum;

  • base58-строки, напоминающие ключи/адреса Solana;

  • массивы байтов в скобках, которые могут скрывать ключи и seed-фразы.


Если совпадения находились, малварь упаковывала их вместе с путем к файлу и номером строки, а затем отправляла данные на жестко закодированный URL Cloudflare Worker (mainnet[.]solana-rpc-pool[.]workers[.]dev). Этот эндпоинт был активен и принимал POST-запросы во время проведения исследования, однако отмечается, что он не является официальным RPC-эндпоинтом Solana.


Представители Crates.io сообщили, что у вредоносных пакетов не было зависимых downstream-крейтов, а заблокированные пользователи не загружали других проектов. Однако разработчикам, использовавшим любой из крейтов, следует провести очистку системы и перевести свои цифровые активы в новые кошельки для предотвращения кражи.


Исследователи напоминают, что перед загрузкой Rust-крейта разработчикам следует проверить репутацию издателя. Также рекомендуется дважды проверять инструкции по сборке, чтобы убедиться, что они не загружают вредоносные пакеты автоматически.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Сразу два вредоносных пакета, насчитывающие около 8500 скачиваний, обнаружены в официальном репозитории Rust. Малварь сканировала системы разработчиков для кражи приватных криптовалютных ключей и других секретов. Пакеты Rust (они же крейты — crates) распространяются через Crates.io — аналог npm для jаvascript, PyPI для Python и Ruby Gems для Ruby. Специалисты компании Socket сообщают, что вредоносные крейты faster_log и async_println были опубликованы на платформе 25 мая 2025 года и скачаны 7200 и 1200 раз соответственно. В настоящее время с платформы уже удалены оба пакета, а также 24 сентября были заблокированы опубликовавшие их аккаунты — rustguruman и dumbnbased. Исследователи рассказывают, что крейты маскировались под легитимный пакет fast_log, скопировав его README-файл, метаданные репозитория и сохранив функциональность логирования, чтобы снизить возможные подозрения жертв. При этом атакующие использовали функциональность упаковки лог-файлов для поиска конфиденциальной информации. Пейлоад, скрытый во вредоносных пакетах, выполнялся во время работы программы и сканировал окружение жертвы и исходные файлы проекта в поисках трех типов данных: hex-строки, похожие на приватные ключи Ethereum; base58-строки, напоминающие ключи/адреса Solana; массивы байтов в скобках, которые могут скрывать ключи и seed-фразы. Если совпадения находились, малварь упаковывала их вместе с путем к файлу и номером строки, а затем отправляла данные на жестко закодированный URL Cloudflare Worker (mainnet_

Другие новости

Рекомендуем

Комментарии (0)



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!

Похожие новости дня

  • Хактивисты BO Team используют новый бэкдор против

    В начале сентября 2025 года эксперты «Лаборатории Касперского» обнаружили новую кампанию группировки BO Team, жертвами...

    • 27-сен-2025
    • Новости / Вёрстка / Отступы и поля / Преимущества стилей / Изображения / Добавления стилей / Заработок / Текст / Списки

  • В Rust-репозитории Crates[.]io нашли два

    Сразу два вредоносных пакета, насчитывающие около 8500 скачиваний, обнаружены в официальном репозитории Rust. Малварь...

    • 27-сен-2025
    • Новости / Вёрстка / Преимущества стилей / Изображения / Типы носителей

  • Пользователей PyPI снова предупреждают о

    Команда Python Software Foundation вновь предупреждает разработчиков, использующих Python Package Index (PyPI), о...

    • 27-сен-2025
    • Новости / Преимущества стилей / Изображения / Ссылки / Вёрстка

Видео уроки

Канадские власти сообщили о ликвидации ...

Создание видео- и аудиодипфейков в режиме ...

Атака Phoenix обходит защиту DDR5 от Rowhammer - ...

13 сентября в Москве пройдет FestTech — открытый ...

Популярное


✔ Новости мира Интернет

ВАША РЕКЛАМА
ДОБАВИТЬ БАННЕР
      

Разное но интересное


Хактивисты BO Team используют новый бэкдор против российских организаций -..

В начале сентября 2025 года эксперты «Лаборатории Касперского» обнаружили новую кампанию группировки BO Team, жертвами котор…...