Доверие = компрометация. Любимый инструмент разработчиков оказался троянским конём

leer en español

Socket crates.io Rust Solana Ethereum вредоносные библиотеки цепочка поставок
Доверие = компрометация. Любимый инструмент разработчиков оказался троянским конём
Socket crates.io Rust Solana Ethereum вредоносные библиотеки цепочка поставок

Поддельная маска оказалась настолько совершенной, что обманула всех.

image

Исследователи компании Socket выявили две вредоносные библиотеки на crates.io, маскирующиеся под популярный пакет fast_log и нацеленные на кражу приватных ключей криптокошельков Solana и Ethereum. Поддельные проекты faster_log и async_println были опубликованы 25 мая 2025 года пользователями под псевдонимами rustguruman и dumbnbased и в общей сложности были скачаны 8424 раза.

Для сокрытия атаки авторы встроили рабочий логгер, а в его код добавили скрытые функции. При выполнении или тестировании проектов эти модули рекурсивно сканировали исходники Rust (.rs) на наличие ключей и байтовых массивов, напоминающих закрытые ключи криптокошельков. Обнаруженные данные отправлялись через HTTP POST на домен «mainnet.solana-rpc-pool.workers[.]dev», стилизованный под реальный RPC-эндпоинт Solana «api.mainnet-beta.solana[.]com».

Приём был реализован через технику тайпсквоттинга. Создатели сохранили описание, документацию и функции оригинальной библиотеки fast_log, скопировали README и даже указали в настройках ссылку на настоящий GitHub-репозиторий. Благодаря этому вредоносные сборки выглядели почти неотличимыми от легитимных.

По словам Кирилла Бойченко из Socket, эта кампания демонстрирует, как небольшая модификация и грамотный выбор имени способны превратить обычный логгер в угрозу цепочке поставок: пара строк кода, выполняющая пересылку приватных ключей на подконтрольный сервер, может пройти мимо поверхностной проверки и оказаться на ноутбуках разработчиков и в CI-системах.

Администраторы crates.io после уведомления оперативно удалили пакеты, заблокировали связанные аккаунты и сохранили журналы активности для дальнейшего анализа. При этом отмечается, что вредоносные модули не имели зависимых проектов в экосистеме, а их авторы больше не публиковали других пакетов. Любопытно, что GitHub-аккаунт dumbnbased существует с мая 2023 года и остаётся доступным, а rustguruman был создан непосредственно в день публикации библиотек — 25 мая 2025 года.

Представитель crates.io Уолтер Пирс уточнил, что опасные функции не активировались на этапе сборки. Выполнение происходило только при запуске или тестах зависимых проектов, что делало атаку менее заметной. Несмотря на то, что авторы постарались придать кодам видимость обычных инструментов, вредоносная вставка в блок логирования и выбор поддельного RPC-адреса выдавали их настоящие намерения.

Случай с faster_log и async_println подтверждает: для атаки на экосистему открытого ПО достаточно минимальной доработки популярного проекта и поверхностного копирования его облика. Это превращает доверие к пакетным менеджерам в слабое звено и снова показывает, насколько уязвимы цепочки поставок программного обеспечения.