恶意 Rust 包瞄准 Web3 开发者窃取加密货币

网络安全研究人员发现，一个名为 evm-units 的恶意 Rust 包（crate）试图从毫无戒备的开发者处窃取加密货币。该恶意包虽已被 Rust 编程语言官方公共包注册中心下架，但在此之前已被下载 7257 次。

恶意包伪装与传播

同一作者发布的另一个包 uniswap-utils 看似无害，但其依赖 evm-units 并在文件中调用该恶意包。据 crates.io 团队透露，该包在被下载 7441 次后也被移除，相关作者账户已被禁用。

Socket 威胁研究人员分析指出，evm-units 伪装成 EVM 版本辅助工具（即帮助开发者在编译或分析智能合约时选择、管理或推理不同版本以太坊虚拟机的工具）。Socket 威胁研究员 Olivia Brown 解释称："该包看似返回以太坊版本号，受害者因此难以察觉异常。"

隐蔽攻击机制

该恶意包在后台执行以下操作：

1. 解码其中编码的 URL
2. 检测底层操作系统（Linux、macOS 或 Windows）
3. 下载并保存针对特定操作系统的脚本/文件至系统临时文件夹
4. 执行该脚本

Brown 强调："整个过程没有窗口、没有输出、没有日志记录，受害者完全无法察觉。"该脚本可运行任意命令或安装后续有效载荷，"实现静默的第二阶段感染"。

在 Windows 系统上执行脚本前，恶意软件会检测奇虎 360 公司的 360 安全卫士是否存在。根据检测结果，恶意软件会直接调用 PowerShell 或通过运行隐藏 PowerShell 脚本的 VBScript 来启动攻击。

针对性攻击特征

Brown 指出："针对奇虎 360 的检测是罕见且明确的中国针对性指标，因为该公司是中国领先的互联网企业。这与加密货币窃取的特征相符，亚洲是全球最大的零售加密货币活动市场之一。"

结合这两个包分别伪装成 EVM 实用工具和 Uniswap 辅助库（用于处理多链上的 Uniswap 池地址），其攻击目标显而易见：从事去中心化应用开发的开发者群体。