Обнаружен вредоносный Rust crate на платформе crates.io

Исследователи по кибербезопасности обнаружили вредоносный Rust пакет на платформе crates.io, нацеленный на системы Windows, macOS и Linux. Пакет представлял собой фальшивый инструмент для Ethereum Virtual Machine и был загружен в середине апреля 2025 года. Он накопил более 7,000 загрузок до его удаления.

Обнаружение и устранение вредоносных пакетов на crates.io

Распространение и работа

Rust crate вызывал функцию get_evm_version(), которая связывалась с внешним URL (download.videotalks.xyz) для получения дальнейшего вредоносного содержимого. Загруженная нагрузка сохранялась во временный каталог системы и запускалась по-разному в зависимости от операционной системы.

• На Linux в /tmp/init и запускалось с nohup.
• На macOS файл init запускался через osascript с nohup.
• На Windows PowerShell скрипт init.ps1 сохранялся во временный каталог и выполнялся.

Целенаправленная атака и последствия

Пакет проверял наличие процесса qhsafetray.exe, связанного с антивирусом Qihoo 360, и адаптировал выполнение в зависимости от его наличия. Отсутствие этого процесса позволяло создать Visual Basic Script для скрытого запуска PowerShell, а при его наличии PowerShell вызывался напрямую.

Эксперты из Socket Security, включая Оливию Браун, отметили, что пакет демонстрирует редкую целенаправленную атаку на Китай, что может указывать на попытку кражи криптовалют. Угроза была идентифицирована как Ablerust, применяя кросс-платформенный загрузчик для автоматической инициализации зловредного кода.

Пакеты были удалены из реестра, что отмечает успех в обеспечении безопасности программного обеспечения на платформе.

Обновлено: 03.12.2025