Исследователи кибербезопасности обнаружили вредоносный пакет Rust, который распространял специфичное для конкретной операционной системы вредоносное ПО, нацеленное на пользователей Windows, macOS и Linux. Основной мишенью атаки стали Web3-разработчики, особенно те, кто работает с экосистемой Ethereum. Вредоносное программное обеспечение маскировалось под вспомогательный инструмент для Ethereum Virtual Machine (EVM), усыпляя бдительность специалистов. На данный момент администрация репозитория пакетов уже удалила опасные файлы.
Источником угрозы выступил репозиторий , где злоумышленник под ником «ablerust» разместил вредоносные библиотеки. Основной кейс (crate) получил название «evm-units» и был загружен в середине апреля 2025 года. За восемь месяцев нахождения в открытом доступе этот пакет был скачан более 7 000 раз. Дополнительный вредоносный кейс назывался «uniswap-utils» и указывал «evm-units» в качестве зависимости, что приводило к автоматическому выполнению вредоносного кода при инициализации. Этот пакет набрал еще большую популярность — более 7 400 загрузок.
Техническая реализация атаки опиралась на вызов функции с безобидным названием «get_evm_version()». Для применения методов социальной инженерии функция действительно возвращала номер версии Ethereum, чтобы жертва не заподозрила неладное. Однако в фоновом режиме происходило декодирование данных и соединение с внешним URL-адресом «download.videotalks[.]xyz» для получения полезной нагрузки следующего этапа. Примечательно, что код содержал прямую проверку на наличие антивирусного программного обеспечения от Qihoo 360, сканируя систему на предмет процесса «qhsafetray.exe», связанного с 360 Total Security.
Поведение вредоносного ПО варьировалось в зависимости от операционной системы жертвы. В среде Linux скрипт загружался и сохранялся в директории /tmp/init. Его выполнение осуществлялось в фоновом режиме с использованием команды nohup, что в итоге предоставляло атакующему полный контроль над зараженной системой.
Для пользователей macOS механизм атаки предполагал загрузку файла с именем init. Запуск этого файла производился через osascript, также в фоновом режиме с применением команды nohup. Это обеспечивало скрытность вредоносных процессов от пользователя, позволяя злоумышленникам закрепиться в системе.
В операционной системе Windows полезная нагрузка загружалась в виде скрипта PowerShell под названием «init.ps1», который сохранялся в системной временной директории. Логика выполнения напрямую зависела от результатов проверки на наличие антивируса. Если процесс «qhsafetray.exe» отсутствовал, создавалась оболочка Visual Basic Script (VBS) для запуска скрытого скрипта PowerShell без видимого окна. Если же антивирус Qihoo 360 обнаруживался, поток выполнения изменялся на прямой вызов PowerShell.
Анализ инцидента провела исследователь безопасности Оливия Браун из компании Socket. Особое внимание к продуктам Qihoo 360, ведущей китайской интернет-компании, было охарактеризовано как «редкий, явный индикатор нацеленности на Китай». Азия является одним из крупнейших мировых рынков розничной активности в сфере криптовалют, что делает местных разработчиков привлекательной целью.
Мотив данной кампании полностью соответствует профилю кражи криптовалют, учитывая использование терминологии Web3, такой как EVM (Ethereum Virtual Machine) и Uniswap (децентрализованный протокол обмена криптовалют). Злоумышленники использовали доверие разработчиков к стандартным инструментам экосистемы Ethereum для компрометации систем и потенциального хищения цифровых активов.
Изображение носит иллюстративный характер
Источником угрозы выступил репозиторий , где злоумышленник под ником «ablerust» разместил вредоносные библиотеки. Основной кейс (crate) получил название «evm-units» и был загружен в середине апреля 2025 года. За восемь месяцев нахождения в открытом доступе этот пакет был скачан более 7 000 раз. Дополнительный вредоносный кейс назывался «uniswap-utils» и указывал «evm-units» в качестве зависимости, что приводило к автоматическому выполнению вредоносного кода при инициализации. Этот пакет набрал еще большую популярность — более 7 400 загрузок.
Техническая реализация атаки опиралась на вызов функции с безобидным названием «get_evm_version()». Для применения методов социальной инженерии функция действительно возвращала номер версии Ethereum, чтобы жертва не заподозрила неладное. Однако в фоновом режиме происходило декодирование данных и соединение с внешним URL-адресом «download.videotalks[.]xyz» для получения полезной нагрузки следующего этапа. Примечательно, что код содержал прямую проверку на наличие антивирусного программного обеспечения от Qihoo 360, сканируя систему на предмет процесса «qhsafetray.exe», связанного с 360 Total Security.
Поведение вредоносного ПО варьировалось в зависимости от операционной системы жертвы. В среде Linux скрипт загружался и сохранялся в директории /tmp/init. Его выполнение осуществлялось в фоновом режиме с использованием команды nohup, что в итоге предоставляло атакующему полный контроль над зараженной системой.
Для пользователей macOS механизм атаки предполагал загрузку файла с именем init. Запуск этого файла производился через osascript, также в фоновом режиме с применением команды nohup. Это обеспечивало скрытность вредоносных процессов от пользователя, позволяя злоумышленникам закрепиться в системе.
В операционной системе Windows полезная нагрузка загружалась в виде скрипта PowerShell под названием «init.ps1», который сохранялся в системной временной директории. Логика выполнения напрямую зависела от результатов проверки на наличие антивируса. Если процесс «qhsafetray.exe» отсутствовал, создавалась оболочка Visual Basic Script (VBS) для запуска скрытого скрипта PowerShell без видимого окна. Если же антивирус Qihoo 360 обнаруживался, поток выполнения изменялся на прямой вызов PowerShell.
Анализ инцидента провела исследователь безопасности Оливия Браун из компании Socket. Особое внимание к продуктам Qihoo 360, ведущей китайской интернет-компании, было охарактеризовано как «редкий, явный индикатор нацеленности на Китай». Азия является одним из крупнейших мировых рынков розничной активности в сфере криптовалют, что делает местных разработчиков привлекательной целью.
Мотив данной кампании полностью соответствует профилю кражи криптовалют, учитывая использование терминологии Web3, такой как EVM (Ethereum Virtual Machine) и Uniswap (децентрализованный протокол обмена криптовалют). Злоумышленники использовали доверие разработчиков к стандартным инструментам экосистемы Ethereum для компрометации систем и потенциального хищения цифровых активов.
