Crates Maliciosos em Rust Roubam Chaves de Carteiras Solana e Ethereum: Mais de 8.000 Downloads Confirmados

Pesquisadores de cibersegurança identificaram duas crates maliciosas na linguagem de programação Rust, projetadas para roubar chaves privadas de carteiras de criptomoedas Solana e Ethereum. As crates, disfarçadas como uma biblioteca legítima de logging, foram baixadas milhares de vezes antes de serem removidas.

Principais Conclusões

• Duas crates Rust maliciosas, faster_log e async_println, foram descobertas roubando chaves de carteiras Solana e Ethereum.

• As crates foram publicadas sob os aliases rustguruman e dumbnbased, acumulando um total de 8.424 downloads.

• O código malicioso exfiltrava chaves privadas via HTTP POST para um endpoint de comando e controle (C2).

• As crates foram removidas do registro crates.io e as contas associadas foram desativadas.

Ataque de Typosquatting em Rust

Duas crates Rust maliciosas, e , foram identificadas por pesquisadores de segurança como ferramentas para roubar chaves privadas de carteiras de criptomoedas, especificamente para Solana e Ethereum. Essas crates foram publicadas em 25 de maio de 2025, sob os aliases e . De acordo com a empresa de segurança de cadeia de suprimentos de software Socket, as crates foram baixadas um total de 8.424 vezes.

O pesquisador de segurança Kirill Boychenko explicou que as crates continham código de logging funcional para disfarçar rotinas maliciosas. Essas rotinas escaneavam arquivos de código-fonte em busca de chaves privadas de Solana e Ethereum e, em seguida, enviavam as informações roubadas via HTTP POST para um endpoint de comando e controle (C2) pré-definido. Após a divulgação responsável, os mantenedores do registro removeram os pacotes maliciosos e desativaram as contas dos publicadores, preservando os logs para análise futura.

Detalhes da Operação Maliciosa

O código malicioso dessas crates era executado em tempo de execução, quando um projeto que dependia delas era executado ou testado. É importante notar que o código malicioso não era executado durante o processo de build. As crates maliciosas imitavam de perto o código-fonte, os recursos e a documentação de crates legítimas, utilizando nomes semelhantes para enganar os desenvolvedores. Este tipo de ataque, conhecido como typosquatting, envolveu a cópia da funcionalidade de logging da biblioteca real, , enquanto introduzia alterações maliciosas. As rotinas maliciosas buscavam recursivamente arquivos Rust () em busca de chaves privadas de Ethereum e Solana, bem como arrays de bytes entre colchetes, exfiltrando-os para um domínio do Cloudflare Workers (). A escolha desse domínio foi uma tentativa de imitar o endpoint RPC da Solana Mainnet beta ().

De acordo com o , as duas crates maliciosas não possuíam dependências downstream, e os usuários que as publicaram não haviam publicado outras crates no registro. As contas do GitHub associadas aos publicadores das crates no permaneceram acessíveis. A conta foi criada em 27 de maio de 2023, enquanto foi criada em 25 de maio de 2025.

Boychenko comentou que esta campanha demonstra como uma quantidade mínima de código e engano simples podem criar um risco significativo na cadeia de suprimentos de software. Um logger funcional com um nome familiar, design copiado e um README convincente pode passar por uma revisão superficial, enquanto uma pequena rotina é suficiente para roubar chaves de carteira privadas e enviá-las para um endpoint controlado pelo atacante, atingindo assim os laptops dos desenvolvedores e os ambientes de Integração Contínua (CI).