(https://i.imgur.com/seQmvS1.jpeg)
La seguridad de la cadena de suministro de software vuelve a situarse en el centro de la atención tras el descubrimiento de un paquete malicioso escrito en Rust, diseñado específicamente para infiltrarse en equipos Windows, macOS y Linux. La amenaza, detectada por investigadores de ciberseguridad, demuestra nuevamente cómo los atacantes están evolucionando hacia técnicas cada vez más sigilosas para comprometer entornos de desarrollo, especialmente dentro del ecosistema Web3.
El paquete, denominado "evm-units", fue publicado en crates.io —el repositorio oficial de Rust— a mediados de abril de 2025 por un usuario conocido como "ablerust". En apariencia, se trataba de una utilidad auxiliar de la Máquina Virtual de Ethereum (EVM), lo que le permitió camuflarse entre desarrolladores legítimos. Durante los ocho meses que estuvo activo, acumuló más de 7.000 descargas, una cifra considerable que evidencia su amplia distribución antes de ser eliminado del repositorio.
Aún más alarmante es que un segundo paquete creado por el mismo autor, llamado "uniswap-utils", incluía a evm-units como dependencia. Este paquete complementario superó las 7.400 descargas, lo que amplificó drásticamente el impacto del ataque y permitió que el código malicioso se ejecutara de manera automática durante la inicialización del software. Ambos paquetes fueron retirados tras confirmarse su actividad maliciosa.
Ejecución silenciosa y cargas útiles específicas para cada sistema operativoSegún la investigadora de Socket, Olivia Brown, el paquete estaba diseñado para operar de forma completamente furtiva. Su comportamiento malicioso comenzaba tras invocar una función aparentemente inocua llamada get_evm_version(). En lugar de devolver únicamente un número de versión, la función decodificaba y contactaba con un servidor externo (download.videotalks[.]xyz) para descargar una carga útil adaptada al sistema operativo de la víctima.
El comportamiento variaba según la plataforma:1. LinuxEl paquete descargaba un script y lo guardaba como /tmp/init. Luego lo ejecutaba en segundo plano utilizando el comando nohup, lo que permitía al atacante obtener control remoto persistente sin generar actividad sospechosa visible.
2. macOSDescargaba un archivo denominado init y lo ejecutaba mediante osascript, también en segundo plano y con nohup. Este método le otorgaba capacidades de automatización y ejecución silenciosa dentro del entorno de Apple.
3. WindowsDescargaba una carga útil en forma de script PowerShell (init.ps1) dentro del directorio temporal del sistema. Antes de ejecutarlo, comprobaba si el proceso qhsafetray.exe —componente del antivirus chino Qihoo 360 Total Security— estaba activo.
En función de esta verificación, su comportamiento cambiaba para evitar la detección:
- Si el antivirus no está presente, crea un archivo VBS que ejecuta el script PowerShell sin ventana visible.
- Si Qihoo 360 está activo, modifica su flujo de ejecución e invoca PowerShell directamente, intentando pasar desapercibido ante el software de seguridad.
Este nivel de adaptación por sistema operativo y verificación de defensa demuestra la sofisticación de la amenaza.
Un ataque con señales claras de orientación hacia el ecosistema Web3La elección de nombres como evm-units y uniswap-utils, junto con referencias directas a Ethereum y Uniswap, evidencia que el objetivo principal del actor malicioso eran los desarrolladores Web3 y proyectos relacionados con la blockchain de Ethereum. Según Brown, esta estrategia responde claramente a un perfil vinculado a robo de criptomonedas, especialmente por su enfoque en herramientas utilizadas por programadores involucrados en contratos inteligentes, infraestructura de blockchain y sistemas descentralizados.
El hecho de que el paquete verificara específicamente la presencia del antivirus Qihoo 360, ampliamente utilizado en Asia, llevó a los investigadores a sugerir la posibilidad de que el ataque tenga vínculos claros con China o esté orientado hacia usuarios y desarrolladores de esta región. Brown describió esta verificación como "un indicador raro, explícito y centrado en China", dada la relevancia de Qihoo 360 en ese mercado.
Un riesgo grave para la cadena de suministro de Rust y el ecosistema Web3El incidente revela la importancia de aplicar controles estrictos de seguridad en los repositorios de paquetes y de revisar cuidadosamente las dependencias añadidas a cualquier proyecto. La inserción de código malicioso en funciones aparentemente inofensivas y su incorporación a un paquete popular demuestra la efectividad de este tipo de ataques de cadena de suministro.
"Ablerust incrustó un cargador de segunda etapa multiplataforma dentro de una función aparentemente inofensiva", explica Brown. "Peor aún, la dependencia fue incorporada a otro paquete ampliamente utilizado, permitiendo que el código malicioso se ejecutara automáticamente durante la inicialización."
Este caso subraya la necesidad urgente de reforzar la seguridad en la comunidad de Rust, así como la implementación de prácticas como auditorías regulares de paquetes, verificación de integridad y uso de herramientas de análisis de dependencias.
Fuente: https://thehackernews.com/