Investigadores en ciberseguridad han descubierto dos crates maliciosos en Rust que se hacen pasar por una biblioteca legítima llamada fast_log, con el fin de robar las claves de billeteras de Solana y Ethereum desde el código fuente. Los crates, denominados faster_log y async_println, fueron publicados por un actor de amenazas bajo los seudónimos rustguruman y dumbnbased el 25 de mayo de 2025, logrando un total de 8,424 descargas, según la empresa de seguridad de la cadena de suministro de software, Socket.
Asegúrate de saber qué estás descargando
Estos crates fraudulentos incluyen código de registro funcional como cobertura y contienen rutinas que escanean archivos fuente en busca de claves privadas de Solana y Ethereum. Una vez identificadas, exfiltran las coincidencias a través de una solicitud HTTP POST a un endpoint de comando y control (C2) codificado, según el investigador de seguridad, Kirill Boychenko.
Tras la divulgación responsable del hallazgo, los mantenedores de crates.io han tomado medidas para eliminar los paquetes de Rust y deshabilitar las dos cuentas involucradas. Además, han preservado los registros de los usuarios operados por el actor de amenazas junto con los crates maliciosos para un análisis adicional. “El código malicioso se ejecutó en tiempo de ejecución, al correr o probar un proyecto que dependía de ellos”, comentó Walter Pearce de crates.io.
En un ataque de typosquatting, los actores mantuvieron la funcionalidad de registro de la biblioteca original mientras introducían cambios maliciosos durante una operación de empaquetado, que buscaba recursivamente archivos Rust en un directorio para hallar claves privadas. Este ataque es un claro recordatorio de cómo un código mínimo y una simple decepción pueden crear un riesgo significativo en la cadena de suministro, permitiendo que el código malicioso llegue a computadoras de desarrolladores y sistemas de integración continua.
