Pesquisadores em cibersegurança identificaram dois crates maliciosos escritos em Rust que se passavam por uma biblioteca legítima chamada fast_log, com o objetivo de roubar chaves de carteiras Solana e Ethereum diretamente do código-fonte.
Os crates, nomeados faster_log e async_println, foram publicados por um ator malicioso sob os pseudônimos rustguruman e dumbnbased no dia 25 de maio de 2025, acumulando 8.424 downloads, segundo a empresa de segurança de cadeia de suprimentos de software Socket.
“O código desses crates inclui funcionalidades reais de logging para camuflagem e, ao mesmo tempo, incorpora rotinas que vasculham arquivos-fonte atrás de chaves privadas de Solana e Ethereum.
Essas chaves são então exfiltradas via HTTP POST para um servidor de comando e controle (C2) hardcoded”, explicou o pesquisador de segurança Kirill Boychenko.
Após a divulgação responsável, os mantenedores do crates[.]io agiram rapidamente para remover os pacotes maliciosos da plataforma e desabilitar as duas contas envolvidas.
Eles também preservaram os logs dos usuários operados pelo ator da ameaça, assim como os crates maliciosos, para futuras análises.
“Esse código malicioso é executado em runtime, ou seja, quando o projeto que depende desses crates é executado ou testado.
É importante notar que nenhuma ação maliciosa ocorre no momento do build”, detalhou Walter Pearce, representante do crates[.]io.
“Além do payload malicioso, esses crates imitavam o código-fonte, os recursos e a documentação da biblioteca legítima, utilizando nomes muito parecidos para enganar usuários.”
O ataque de typosquatting, conforme analisado pela Socket, manteve a funcionalidade de logging da biblioteca original, mas introduziu alterações maliciosas durante a operação de empacotamento dos logs.
Esse código malicioso fazia uma busca recursiva em arquivos Rust (*.rs) dentro do diretório à procura de chaves privadas das blockchains Ethereum e Solana.
As chaves capturadas eram então enviadas para um domínio operado por Cloudflare Workers (“mainnet[.]solana-rpc-pool[.]workers[.]dev”).
Além de copiar o README da fast_log e apontar o campo do repositório dos crates falsos para o projeto real no GitHub, o uso do domínio “mainnet[.]solana-rpc-pool[.]workers[.]dev” é uma tentativa de simular o endpoint RPC oficial do Mainnet beta da Solana, que é “api[.]mainnet-beta[.]solana[.]com”.
De acordo com o crates[.]io, esses dois crates não possuem dependentes downstream nem seus usuários publicaram outros pacotes na plataforma.
As contas no GitHub associadas aos perfis do crates[.]io ainda estavam ativas até o momento desta publicação.
Curiosamente, o perfil dumbnbased foi criado em 27 de maio de 2023, enquanto o rustguruman só surgiu em 25 de maio de 2025.
“Essa campanha mostra como uma quantidade mínima de código e uma estratégia simples de engano podem gerar um risco significativo para a cadeia de suprimentos”, comentou Boychenko.
“Um logger funcional, com nome familiar, design copiado e documentação convincente, pode passar despercebido em uma revisão superficial.
Porém, um pequeno código que envia chaves privadas para um endpoint C2 controlado por um invasor já é suficiente para comprometer laptops de desenvolvedores e pipelines de integração contínua (CI).”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...