Des chercheurs en cybersécurité ont découvert deux crates malveillants en Rust qui se font passer pour une bibliothèque légitime appelée fast_log, dans le but de voler les clés de portefeuilles de Solana et Ethereum à partir du code source. Les crates, nommés faster_log et async_println, ont été publiés par un acteur de menace sous les pseudonymes rustguruman et dumbnbased le 25 mai 2025, totalisant 8 424 téléchargements, selon la société de sécurité de la chaîne d’approvisionnement logicielle, Socket.
Assurez-vous de savoir ce que vous téléchargez
Ces crates frauduleux incluent un code d’enregistrement fonctionnel comme couverture et contiennent des routines qui scannent les fichiers sources à la recherche de clés privées de Solana et d’Ethereum. Une fois identifiées, elles exfiltrent les correspondances via une requête HTTP POST à un endpoint de commande et de contrôle (C2) codé, selon le chercheur en sécurité, Kirill Boychenko.
Après la divulgation responsable de la découverte, les mainteneurs de crates.io ont pris des mesures pour supprimer les paquets Rust et désactiver les deux comptes impliqués. De plus, ils ont préservé les enregistrements des utilisateurs opérés par l’acteur de menace ainsi que les crates malveillants pour une analyse supplémentaire. « Le code malveillant s’est exécuté à l’exécution, en exécutant ou en testant un projet qui en dépendait », a commenté Walter Pearce de crates.io.
Dans une attaque de typosquatting, les acteurs ont maintenu la fonctionnalité d’enregistrement de la bibliothèque originale tout en introduisant des modifications malveillantes lors d’une opération de packaging, qui cherchait de manière récursive des fichiers Rust dans un répertoire pour trouver des clés privées. Cette attaque est un rappel clair de la façon dont un code minimal et une simple tromperie peuvent créer un risque significatif dans la chaîne d’approvisionnement, permettant au code malveillant d’atteindre les ordinateurs des développeurs et les systèmes d’intégration continue.
