Linux, macOS, Windows — вредонос адаптировался под все три системы. Разбираем механику атаки на экосистему Ethereum.

leer en español

evm-units Rust Web3-безопасность Socket Qihoo 360 Uniswap Оливия Браун
Linux, macOS, Windows — вредонос адаптировался под все три системы. Разбираем механику атаки на экосистему Ethereum.
evm-units Rust Web3-безопасность Socket Qihoo 360 Uniswap Оливия Браун

Даже разработчики самых популярных утилит не заметили подмены в цепочке поставок.

image

На платформе crates.io вскрыт новый случай компрометации цепочки поставок ПО: вредоносный пакет на Rust незаметно заражал рабочие станции разработчиков Web3, маскируясь под вспомогательный инструмент для Ethereum Virtual Machine и подстраиваясь под три популярные десктопные операционные системы.

Пакет под названием «evm-units» появился в репозитории в середине апреля 2025 года от пользователя «ablerust» и за восемь месяцев набрал более 7 тысяч загрузок. Тот же автор опубликовал пакет «uniswap-utils», где «evm-units» был указан как зависимость, что обеспечило ему ещё свыше 7,4 тысячи загрузок. Оба проекта уже удалены с площадки, однако вредоносный код успел широко разойтись по экосистеме.

По данным компании Socket, вредоносный функционал скрыт внутри на первый взгляд безобидной функции «get_evm_version()». Вместо того чтобы только возвращать версию Ethereum, она определяет операционную систему, проверяет, запущен ли процесс «qhsafetray.exe», и обращается к внешнему ресурсу «download.videotalks[.]xyz» за следующим этапом атаки.

В зависимости от платформы загружается и в фоновом режиме запускается отдельный компонент: на Linux это сценарий, сохраняемый в каталоге /tmp/init и запускаемый через nohup, на macOS загружается и исполняется файл init через osascript и nohup, а на Windows в каталог временных файлов записывается PowerShell-скрипт «init.ps1» с дальнейшим скрытым запуском.

Особое внимание автор вредоноса уделил продукту 360 Total Security китайской компании Qihoo 360. Наличие процесса «qhsafetray.exe» влияет на схему выполнения: при его отсутствии создаётся обёртка на Visual Basic Script для скрытого запуска PowerShell без окна, при обнаружении антивируса выполнение переводится на более прямой сценарий с вызовом PowerShell.

Сотрудница Socket Оливия Браун связывает такую логику с целенаправленной ориентацией на пользователей в Китае и более широком азиатском регионе, где рынок розничных криптовалютных сервисов остаётся одним из крупнейших.

Ссылки на EVM и протокол Uniswap позволили злоумышленнику органично вписать вредоносный код в инфраструктуру Web3 и выдать его за полезные утилиты для работы с Ethereum. Дополнительный риск создала цепочка зависимостей: включение «evm-units» в популярный пакет «uniswap-utils» привело к тому, что вредоносный загрузчик автоматически выполнялся при инициализации проектов, использующих эту библиотеку.

Инцидент демонстрирует, насколько опасными становятся атаки через открытые репозитории кода и насколько критично для разработчиков блокчейн-проектов внимательно отслеживать состав и происхождение подключаемых модулей.