Los investigadores de ciberseguridad han descubierto dos cajas de Rust maliciosas que se hacen pasar por una biblioteca legítima llamada registro rápido para robar las claves de las carteras de Solana y Ethereum del código fuente.
El actor de amenazas publicó las cajas, denominadas faster_log y async_println, con el alias guruman del óxido y tonto el 25 de mayo de 2025, acumulando 8.424 descargas en total, según la empresa de seguridad de la cadena de suministro de software Socket.
«Las cajas incluyen un código de registro funcional para cubrir e incrustar rutinas que escanean los archivos fuente en busca de claves privadas de Solana y Ethereum y, luego, filtran las coincidencias a través de HTTP POST a un punto final codificado de comando y control (C2)», dijo el investigador de seguridad Kirill Boychenko dijo .
Tras la divulgación responsable, los responsables del mantenimiento de crates.io han tomado medidas para eliminar los paquetes de Rust y deshabilitar las dos cuentas. También ha conservado los registros de los usuarios operados por los actores de amenazas, junto con las cajas maliciosas, para su posterior análisis.
«El código malicioso se ejecutaba en tiempo de ejecución, al ejecutar o probar un proyecto en función de ellos», dijo Walter Pearce de Crates.io dijo . «Cabe destacar que no ejecutaron ningún código malicioso en el momento de la compilación. A excepción de su carga maliciosa, estas cajas copiaban el código fuente, las funciones y la documentación de las cajas legítimas y utilizaban un nombre similar al suyo».
El ataque tipográfico, según detalló Socket, implicó que los actores de la amenaza conservaran la funcionalidad de registro de la biblioteca real e introdujeran cambios maliciosos en el código durante una operación de empaquetado de registros que buscaba recursivamente en archivos de Rust (*.rs) de un directorio en busca de claves privadas de Ethereum y Solana y matrices de bytes entre corchetes y los filtraba a un dominio de Cloudflare Workers («mainnet.solana-rpc-pool.workers [.] dev»).
Además de copiar el README de fast_log y configurar el campo de repositorio de las cajas falsas en el proyecto GitHub real, el uso de «mainnet.solana-rpc-pool.workers [.] dev» es un intento de imitar el de Solana Punto final RPC beta de Mainnet «api.mainnet-beta.solana [.] com».
Según crates.io, las dos cajas no tenían ninguna caja posterior dependiente, ni los usuarios publicaron otras cajas en el registro de paquetes de Rust. Las cuentas de GitHub vinculadas a las cuentas de editor de crates.io permanecen accesibles al momento de escribir este artículo. Mientras que la cuenta de GitHub tonto se creó el 27 de mayo de 2023, guruman del óxido no existió hasta el 25 de mayo de 2025.
«Esta campaña muestra cómo un código mínimo y un simple engaño pueden crear un riesgo en la cadena de suministro», dijo Boychenko. «Un registrador funcional con un nombre conocido, un diseño copiado y un archivo README puede pasar una revisión casual, mientras que una pequeña rutina publica las claves de un monedero privado en un terminal C2 controlado por un agente de amenazas. Por desgracia, eso es suficiente para llegar a los ordenadores portátiles e informáticos de los desarrolladores».