Los investigadores de ciberseguridad han descubierto un paquete Rust malintencionado que puede atacar los sistemas Windows, macOS y Linux, e incluye funciones maliciosas que se ejecutan sigilosamente en las máquinas de los desarrolladores haciéndose pasar por una máquina virtual Ethereum ( EVM ) herramienta auxiliar de la unidad.
La caja Rust, llamada» unidades evm », fue subido a crates.io a mediados de abril de 2025 por un usuario llamado» herrumbre capaz », que ha conseguido más de 7.000 descargas en los últimos ocho meses. Otro paquete creado por el mismo autor,» uniswap-utils », enumeró «evm-units» como dependencia. Se descargó más de 7.400 veces. Desde entonces, los paquetes se han eliminado del repositorio de paquetes.
«En función del sistema operativo de la víctima y de si el antivirus Qihoo 360 se está ejecutando, el paquete descarga una carga útil, la escribe en el directorio temporal del sistema y la ejecuta de forma silenciosa», dijo Olivia Brown, investigadora de seguridad de Socket dijo en un informe. «El paquete parece devolver el número de versión de Ethereum, por lo que la víctima no se ha enterado».
Un aspecto destacable del paquete es que está diseñado explícitamente para comprobar la presencia del proceso "qhsafetray.exe «, un archivo ejecutable asociado a 360 Total Security, un software antivirus desarrollado por el proveedor de seguridad chino Qihoo 360.
En concreto, el paquete está diseñado para invocar una función aparentemente inofensiva llamada «get_evm_version ()», que decodifica y llega a una URL externa («download.videotalks [.] xyz») para obtener una carga útil de la siguiente etapa, según el sistema operativo en el que se ejecute:
- En Linux, descarga un script, lo guarda en /tmp/init y lo ejecuta en segundo plano mediante el comando nohup, lo que permite al atacante obtener el control total
- En macOS, descarga un archivo llamado init y lo ejecuta usando osascript en segundo plano con el comando nohup
- En Windows, descarga y guarda la carga útil como un archivo de script de PowerShell («init.ps1") en el directorio temporal y comprueba si hay" qhsafetray.exe» en los procesos en ejecución antes de invocar el script
En caso de que el proceso no esté presente, crea un contenedor de scripts de Visual Basic que ejecuta un script de PowerShell oculto sin ventana visible. Si se detecta el proceso antivirus, éste altera ligeramente su flujo de ejecución al invocar directamente PowerShell.
«Este enfoque en Qihoo 360 es un indicador de segmentación poco frecuente, explícito y centrado en China, porque es una de las principales empresas chinas de Internet», dijo Brown. «Se ajusta al perfil del robo de criptomonedas, ya que Asia es uno de los mayores mercados mundiales para la actividad minorista de criptomonedas».
Las referencias a EVM y Uniswap, un protocolo de intercambio de criptomonedas descentralizado basado en la cadena de bloques de Ethereum, indican que el incidente de la cadena de suministro está diseñado para atacar a los desarrolladores del espacio Web3 haciendo pasar los paquetes por utilidades relacionadas con Ethereum.
«Ablerust, el actor de amenazas responsable del código malicioso, incorporó un cargador de segunda etapa multiplataforma dentro de una función aparentemente inofensiva», dijo Brown. «Lo que es peor, la dependencia se incorporó a otro paquete muy utilizado (uniswap-utils), lo que permitió que el código malintencionado se ejecutara automáticamente durante la inicialización».