Los desarrolladores del lenguaje Rust advirtieron sobre el descubrimiento de paquetes finch-rust, sha-rust, evm-units y uniswap-utils en el repositorio crates.io que contienen código malicioso.
El paquete evm-units incluía código para descargar componentes maliciosos destinados a robar criptomonedas. El paquete malicioso se publicó en abril de 2025 y se descargó 7257 veces. El paquete uniswap-utils también se descargó en abril y se descargó 7441 veces. Utilizaba evm-units como dependencia. El código malicioso se activó al llamar a la función get_evm_version(), lo que provocó la descarga de código externo del enlace "https://download[.]videotalks[.]xyz/gui/6dad3/…". En Linux y macOS, se descargó y ejecutó el script init, mientras que en Windows fue init.ps1.
El paquete sha-rust se añadió al directorio el 20 de noviembre, se descargó 153 veces y contenía código para buscar y enviar datos confidenciales a un servidor externo. El paquete finch-rust incluía el código original de finch, pero añadía una llamada a la función "sha_rust::from_str()". Al ejecutarse, esta función ejecutaba un controlador ofuscado que enviaba información del sistema, variables de entorno y el contenido de config.toml, id.json y archivos con la extensión ".env" (por ejemplo, production.env, staging.env y dev.env, que contienen tokens de acceso) al servidor "https://rust-docs-build[.]vercel[.]app/api/v1".
El 25 de noviembre, también se publicó en crates.io un paquete llamado finch-rust, que usa sha-rust como dependencia y fue diseñado para typosquatar a los usuarios del paquete legítimo finch, con la esperanza de que los usuarios pasaran por alto la diferencia en el nombre cuando encontraran el paquete a través de una búsqueda o seleccionándolo de una lista.
Fuente: opennet.ru
