Investigadores de ciberseguridad han descubierto un paquete Rust malicioso con funcionalidad maliciosa que puede apuntar a sistemas Windows, macOS y Linux y ejecutarse de forma encubierta en las máquinas de los desarrolladores bajo la apariencia de una herramienta auxiliar de unidad de Máquina Virtual Ethereum (EVM).
La caja de Rust llamada «evm-units» fue cargada en crates.io a mediados de abril de 2025 por un usuario llamado «ablerust» y ha obtenido más de 7000 descargas en los últimos ocho meses. Otro paquete «uniswap-utils» creado por el mismo autor tiene «evm-units» como dependencia. Descargado más de 7.400 veces. Luego, el paquete se eliminó del repositorio de paquetes.
«Según el sistema operativo de la víctima y si el software antivirus Qihoo 360 se está ejecutando, el paquete descarga la carga útil, la escribe en el directorio temporal del sistema y la ejecuta silenciosamente», dijo en el informe la investigadora de seguridad de Socket, Olivia Brown. «El paquete parece devolver el número de versión de Ethereum, por lo que las víctimas no se dan cuenta».
Lo notable de este paquete es que está diseñado explícitamente para verificar la presencia del proceso «qhsafetray.exe», un ejecutable asociado con 360 Total Security, un software antivirus desarrollado por el proveedor de seguridad chino Qihoo 360.
Específicamente, el paquete está diseñado para llamar a una función aparentemente inofensiva llamada «get_evm_version()» que decodifica y accede a una URL externa («download.videotalks(.)xyz») para recuperar la carga útil de la siguiente etapa dependiendo del sistema operativo en el que se esté ejecutando.
En Linux, descargue el script, guárdelo en /tmp/init y ejecútelo en segundo plano usando el comando nohup. Esto permite al atacante obtener el control total. En macOS, descargue un archivo llamado init y ejecútelo en segundo plano usando osascript usando el comando nohup. En Windows, descarga la carga útil y la guarda como un archivo de script de PowerShell (‘init.ps1’) en un directorio temporal para verificar los procesos en ejecución. «qhsafetray.exe» antes de llamar al script
Si el proceso no existe, se crea un contenedor de secuencias de comandos de Visual Basic que ejecuta una secuencia de comandos de PowerShell oculta sin una ventana visible. Si se detecta un proceso antivirus, su flujo de ejecución se modifica ligeramente llamando directamente a PowerShell.
«Este enfoque en Qihoo 360 es una métrica de orientación inusual y explícitamente centrada en China, ya que Qihoo 360 es una importante empresa de Internet en China», dijo Brown. «Esto encaja con el perfil del robo de criptomonedas, ya que Asia es uno de los mercados mundiales más grandes para la actividad minorista de criptomonedas».
Las referencias a EVM y Uniswap, un protocolo descentralizado de intercambio de criptomonedas construido sobre la cadena de bloques Ethereum, indican que este incidente en la cadena de suministro está diseñado para apuntar a los desarrolladores en el espacio Web3 disfrazando los paquetes como utilidades relacionadas con Ethereum.
«El atacante que ejecutó el código malicioso, Ablerust, incorporó un cargador de segunda etapa multiplataforma dentro de una función aparentemente inocua», dijo Brown. «Para empeorar las cosas, la dependencia se incorporó a otro paquete ampliamente utilizado (uniswap-utils), lo que permitió que el código malicioso se ejecutara automáticamente durante la inicialización».
Source link
