La confianza derivó en un compromiso de seguridad: la herramienta favorita de los desarrolladores resultó ser un caballo de Troya
La máscara falsa resultó tan perfecta que engañó a todo el mundo.
Los investigadores de la empresa Socket identificaron dos bibliotecas maliciosas en crates.io, que se hacían pasar por el paquete popular fast_log y estaban dirigidas a robar claves privadas de billeteras de Solana y Ethereum. Los proyectos falsos faster_log y async_println fueron publicados el 25 de mayo de 2025 por usuarios con los seudónimos rustguruman y dumbnbased y en total se descargaron 8424 veces.
Para ocultar el ataque, los autores integraron un registrador funcional y añadieron en su código funciones ocultas. Al ejecutar o probar los proyectos, esos módulos escaneaban recursivamente el código fuente de Rust (.rs) en busca de claves y matrices de bytes que recordaran a claves privadas de billeteras. Los datos detectados se enviaban mediante HTTP POST al dominio «mainnet.solana-rpc-pool.workers[.]dev», estilizado para parecerse al verdadero endpoint RPC de Solana «api.mainnet-beta.solana[.]com».
La técnica se implementó mediante typosquatting. Los creadores conservaron la descripción, la documentación y las funciones de la biblioteca original fast_log, copiaron el README e incluso indicaron en la configuración un enlace al repositorio real en GitHub. Gracias a ello, las compilaciones maliciosas parecían casi indistinguibles de las legítimas.
Según Kirill Boychenko de Socket, esta campaña demuestra cómo una pequeña modificación y una elección de nombre acertada pueden convertir un registrador común en una amenaza para la cadena de suministro: un par de líneas de código que envían claves privadas a un servidor controlado por el atacante pueden pasar desapercibidas en una revisión superficial y acabar en los portátiles de los desarrolladores y en los sistemas CI.
Los administradores de crates.io, tras ser notificados, eliminaron rápidamente los paquetes, bloquearon las cuentas relacionadas y conservaron los registros de actividad para un análisis posterior. Se señala además que los módulos maliciosos no tenían proyectos dependientes en el ecosistema y que sus autores no publicaron otros paquetes. Es curioso que la cuenta de GitHub dumbnbased existe desde mayo de 2023 y sigue accesible, mientras que rustguruman fue creada el mismo día de la publicación de las bibliotecas — el 25 de mayo de 2025.
Un representante de crates.io, Walter Pierce, aclaró que las funciones peligrosas no se activaron durante la compilación. La ejecución ocurría solo al iniciar o al probar proyectos dependientes, lo que hacía que el ataque fuera menos visible. Aunque los autores intentaron dar al código la apariencia de herramientas comunes, la inserción maliciosa en el bloque de registro y la elección de una dirección RPC falsa delataban sus verdaderas intenciones.
El caso de faster_log y async_println confirma que, para atacar el ecosistema de software de código abierto, basta con una mínima modificación de un proyecto popular y una copia superficial de su apariencia. Esto convierte la confianza en los gestores de paquetes en un eslabón débil y vuelve a mostrar cuán vulnerables son las cadenas de suministro de software.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!