Pesquisadores em cibersegurança identificaram um pacote malicioso desenvolvido em Rust, capaz de atacar sistemas Windows, macOS e Linux.
O componente se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM), executando-se de forma furtiva nos computadores de desenvolvedores.
O pacote, chamado "evm-units", foi enviado ao repositório crates.io em meados de abril de 2025 pelo usuário "ablerust".
Em oito meses, acumulou mais de 7 mil downloads.
Outro pacote do mesmo autor, "uniswap-utils", que listava "evm-units" como dependência, chegou a ser baixado mais de 7,4 mil vezes.
Ambos já foram removidos do repositório.
Segundo Olivia Brown, pesquisadora da Socket Security, “o pacote identifica o sistema operacional da vítima e verifica a presença do antivírus Qihoo 360.
Em seguida, baixa um payload, grava-o na pasta temporária do sistema e o executa silenciosamente.” Para enganar o usuário, a ferramenta retorna o número da versão da Ethereum, mantendo a ação oculta.
Um destaque dessa ameaça é a verificação explícita do processo “qhsafetray.exe”, associado ao antivírus 360 Total Security, desenvolvido pela empresa chinesa Qihoo 360.
A funcionalidade maliciosa está embutida na chamada “get_evm_version()”, que aparentemente é inofensiva.
Essa função decodifica e acessa um URL externo ("download.videotalks[.]xyz") para baixar um payload conforme o sistema operacional:
- No Linux, baixa um script salvo em /tmp/init e o executa em segundo plano via nohup, garantindo controle total.
- No macOS, baixa um arquivo chamado init e o executa em background usando os comandos osascript e nohup.
- No Windows, baixa um script PowerShell ("init.ps1") na pasta temporária, verifica se o processo “qhsafetray.exe” está em execução e então chama o script.
Se o processo do antivírus não estiver ativo, o malware cria um wrapper em Visual Basic Script para executar o PowerShell ocultamente, sem abrir janelas visíveis.
Se o antivírus for detectado, o fluxo de execução é ligeiramente modificado para acionar o PowerShell diretamente.
Brown destaca que “a atenção ao Qihoo 360 é um indicativo raro de um ataque direcionado à China, pois a empresa é uma gigante chinesa de internet.
Esse comportamento se encaixa no perfil de roubo de criptomoedas, já que a Ásia é um dos maiores mercados globais para o varejo de moedas digitais.”
As referências à EVM e à Uniswap — exchange descentralizada de criptomoedas que roda na blockchain Ethereum — indicam que o ataque visa desenvolvedores do ecossistema Web3, usando pacotes relacionados à Ethereum como isca.
“A ameaça criada por ablerust incorporou um carregador multiplataforma de segunda etapa dentro de uma função aparentemente inofensiva.
Pior ainda, essa dependência foi incluída em outro pacote amplamente utilizado (uniswap-utils), o que permitiu a execução automática do código malicioso durante a inicialização”, conclui Brown.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...