Amenaza oculta en el corazón de Rust: hackers comprometieron bibliotecas populares
Ni siquiera los desarrolladores de las herramientas más populares detectaron la manipulación en la cadena de suministro.
En la plataforma crates.io se ha descubierto un nuevo caso de compromiso de la cadena de suministro de software: un paquete malicioso en Rust infectó sigilosamente estaciones de trabajo de desarrolladores de Web3, haciéndose pasar por una herramienta auxiliar para la Máquina Virtual de Ethereum y adaptándose a tres populares sistemas operativos de escritorio.
El paquete llamado «evm-units» apareció en el repositorio a mediados de abril de 2025 por el usuario «ablerust» y en ocho meses acumuló más de 7.000 descargas. El mismo autor publicó el paquete «uniswap-utils», donde «evm-units» fue listado como dependencia, lo que le proporcionó además más de 7.400 descargas. Ambos proyectos ya fueron retirados de la plataforma, sin embargo el código malicioso llegó a propagarse ampliamente por el ecosistema.
Según la empresa Socket, la funcionalidad maliciosa está oculta dentro de una función aparentemente inofensiva llamada «get_evm_version()». En lugar de limitarse a devolver la versión de Ethereum, ésta detecta el sistema operativo, comprueba si se está ejecutando el proceso «qhsafetray.exe» y contacta con un recurso externo «download.videotalks[.]xyz» para la siguiente fase del ataque.
Según la plataforma, según la plataforma, en función de la plataforma se descarga y ejecuta en segundo plano un componente separado: en Linux es un script que se guarda en el directorio /tmp/init y se lanza mediante nohup; en macOS se descarga y ejecuta un archivo init mediante osascript y nohup; y en Windows se escribe un script de PowerShell «init.ps1» en el directorio temporal con su posterior ejecución oculta.
El autor del código malicioso prestó especial atención al producto 360 Total Security de la empresa china Qihoo 360. La presencia del proceso «qhsafetray.exe» condiciona el esquema de ejecución: en su ausencia se crea un envoltorio en Visual Basic Script para iniciar PowerShell de forma oculta sin ventana; si se detecta el antivirus, la ejecución pasa a un guion más directo que invoca PowerShell.
Olivia Brown, empleada de Socket, vincula esa lógica con una orientación dirigida a usuarios en China y en la región asiática en general, donde el mercado minorista de servicios cripto sigue siendo uno de los mayores.
Las referencias a la Máquina Virtual de Ethereum (EVM) y al protocolo Uniswap permitieron al atacante integrar de forma orgánica el código malicioso en la infraestructura de Web3 y presentarlo como utilidades útiles para trabajar con Ethereum. Un riesgo adicional lo creó la cadena de dependencias: la inclusión de «evm-units» en el popular paquete «uniswap-utils» provocó que el cargador malicioso se ejecutara automáticamente al inicializar proyectos que usan esa biblioteca.
El incidente demuestra lo peligrosos que pueden ser los ataques a través de repositorios de código abiertos y lo crítico que es para los desarrolladores de proyectos blockchain vigilar con atención la composición y el origen de los módulos que integran.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla