Malicious Rust Crate Delivers OS-Specific Malware to Web3 Developer Systems

2 minute de lecture

Mis à jour : December 03, 2025

Malware ciblé dans l’écosystème Web3

Une campagne malveillante a exploité le dépôt de paquets Rust crates.io pour distribuer un logiciel malveillant sophistiqué aux développeurs Web3. Les paquets infectés, nommés evm-units et uniswap-utils, se présentaient comme des utilitaires liés à l’Ethereum Virtual Machine (EVM) et au protocole d’échange décentralisé Uniswap. Ces paquets ont cumulé des milliers de téléchargements avant d’être retirés du dépôt.

Fonctionnement du malware :

Le logiciel malveillant est conçu pour s’exécuter discrètement sur les systèmes Windows, macOS et Linux. Sa méthode d’infection repose sur une fonction apparemment inoffensive nommée get_evm_version(). Lorsque cette fonction est appelée, elle contacte une URL externe (download.videotalks[.]xyz) pour télécharger une charge utile adaptée au système d’exploitation de la victime.

Linux : Un script est téléchargé, nommé /tmp/init et exécuté en arrière-plan via nohup.
macOS : Un fichier nommé init est téléchargé et exécuté en arrière-plan via osascript et nohup.
Windows : Une charge utile est téléchargée, enregistrée comme script PowerShell (init.ps1) dans le répertoire temporaire. L’exécution de ce script est conditionnée à la présence du processus qhsafetray.exe, associé au logiciel antivirus 360 Total Security de Qihoo 360. Si l’antivirus est détecté, le script PowerShell est lancé directement. Sinon, un script Visual Basic est utilisé pour exécuter le script PowerShell de manière cachée.

Points clés :

Ciblage spécifique : La dépendance du malware à la détection du logiciel antivirus 360 Total Security suggère une intention de ciblage spécifique, potentiellement orientée vers la Chine, un marché important pour les activités de cryptomonnaies.
Attaque par la chaîne d’approvisionnement : L’infection s’est propagée via le dépôt de paquets open-source, une méthode courante pour les attaques par la chaîne d’approvisionnement.
Masquage : Le malware se dissimule derrière des utilitaires légitimes du monde Web3 pour gagner la confiance des développeurs.

Vulnérabilités identifiées :

Bien que l’article ne mentionne pas de CVE spécifiques, la vulnérabilité principale réside dans la confiance accordée aux paquets téléchargés depuis des dépôts publics sans vérification approfondie de leur intégrité et de leur origine. L’infection découle de l’inclusion d’un code malveillant dans une fonction apparemment bénigne d’un paquet, exploitant ainsi la nature automatisée de la gestion des dépendances dans le développement logiciel.

Recommandations :

Vigilance accrue : Les développeurs doivent faire preuve d’une extrême prudence lors de l’ajout de nouvelles dépendances à leurs projets, en particulier celles provenant de sources externes.
Vérification des paquets : Il est conseillé de vérifier la réputation des paquets, l’historique de leur auteur et de rechercher des signes d’activités suspectes avant de les intégrer.
Outils de sécurité : L’utilisation d’outils d’analyse statique et dynamique de code, ainsi que des scanners de sécurité pour les chaînes d’approvisionnement, peut aider à détecter les paquets malveillants.
Mises à jour régulières : Maintenir à jour les outils de développement et les logiciels de sécurité est crucial pour se protéger contre les menaces émergentes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Malicious Rust Crate Delivers OS-Specific Malware to Web3 Developer Systems

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast