Los investigadores de ciberseguridad han descubierto dos cajas de óxido maliciosas que se hacen pasar por una biblioteca legítima llamada Fast_log para robar las teclas de billetera Solana y Ethereum del código fuente.
El actor de amenazas publicó las cajas, llamadas Faster_log y Async_println, bajo el alias Rustguruman y Based Baseded el 25 de mayo de 2025, acumulando 8.424 descargas en total, según Software Supply Security Company Socket.
«Las cajas incluyen el código de registro de trabajo para las rutinas de cobertura e incrustación que escanean los archivos de origen para las claves privadas de Solana y Ethereum, luego exfiltran coincidencias a través de HTTP Post a un punto final de comando y control (C2) codificado (C2)», dijo el investigador de seguridad Kirill Boychenko.
Después de la divulgación responsable, los mantenedores de cajas.io han tomado medidas para eliminar los paquetes de óxido y deshabilitar las dos cuentas. También ha conservado registros de los usuarios operados por el actor de amenaza junto con las cajas maliciosas para un análisis posterior.
«El código malicioso se ejecutó en tiempo de ejecución, al ejecutar o probar un proyecto dependiendo de ellos», dijo Walter Pearce de Crates.io. «En particular, no ejecutaron ningún código malicioso en la hora de compilación. Excepto por su carga útil maliciosa, estas cajas copiaron el código fuente, las características y la documentación de las cajas legítimas, utilizando un nombre similar a ellos».
El ataque tipográfico, según lo detallado por Socket, involucró a los actores de amenaza que retuvieron la funcionalidad de registro de la biblioteca real, al tiempo que introdujeron cambios en el código malicioso durante una operación de embalaje de registro que buscó recursivamente archivos de óxido (*.rs) en un encierro para Ethereum y Solana Keys privadas y armadas de byte bytes y los exfiltró a un dominio de trabajadores de nubeflare Dominin Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain Domain de trabajadores florizados en la CloudFlove Dominin de («Mainnet.Solana-RPC-Pool.Workers (.) Dev»).
Además de copiar el readMe de Fast_log y establecer el campo de repositorio de las cajas Bogus en el proyecto GitHub real, el uso de «Mainnet.Solana-RPC-Pool.Workers (.) Dev» es un intento de imitar el punto de finalización Beta RPC de Solana Beta RPC «API.Mainnet-Beta.Solana (.) Com».
Según Craates.io, las dos cajas no tenían cajas aguas abajo dependientes, ni los usuarios publicaron otras cajas en el registro de paquetes de óxido. Las cuentas de GitHub vinculadas a las cuentas del editor de Craates.io siguen siendo accesibles a partir de la escritura. Si bien la cuenta de GitHub fue creada el 27 de mayo de 2023, Rustguruman no existió hasta el 25 de mayo de 2025, el mismo día en que se cargaron las cajas.
«Esta campaña muestra cómo el código mínimo y el engaño simple pueden crear un riesgo de cadena de suministro», dijo Boychenko. «Un registrador funcional con un nombre familiar, diseño copiado y lectura puede pasar una revisión casual, mientras que una pequeña rutina publica claves de billetera privada para un punto final C2 controlado por el actor de amenaza. Desafortunadamente, eso es suficiente para llegar a las computadoras portátiles y CI de los desarrolladores».
Actualizar
Ambas cuentas de GitHub vinculadas a las cajas de óxido ya no están disponibles. Boychenko le dijo a The Hacker News que el código malicioso no se activa durante la compilación o cuando se descargan las cajas, y que solo se activa cuando el programa se ejecuta y llega a las rutas de código relevantes.
«Eso reduce la exposición accidental, pero no es ‘bajo riesgo’. Cualquiera que ejecute código usando las cajas podría haber filtrado datos confidenciales «, agregó el investigador. «No hemos encontrado proyectos públicos que dependan de estas dos cajas, y el Rust Registry no enumera las cajas aguas abajo. Hubo 8.424 descargas, lo cual es significativo para un ecosistema más pequeño como Rust, pero las descargas no son igual a los adoptantes».
(La historia se actualizó después de la publicación para incluir una respuesta de Socket y el último estado de las cuentas ofensivas de GitHub).