Rust balíčky kradou klíče Solana a Ethereum

2 října, 2025

Kyberbezpečnostní experti odhalili dva škodlivé Rust balíčky, které se vydávaly za legitimní knihovnu fast_log a zaměřovaly se na krádež klíčů k peněženkám Solana a Ethereum přímo ze zdrojového kódu. Balíčky nazvané faster_log a async_println byly zveřejněny 25. května 2025 pod účty rustguruman a dumbnbased a podle společnosti Socket dosáhly dohromady více než 8 400 stažení.

Podle výzkumníka Kirilla Boychenka obsahovaly balíčky funkční kód pro logování jako zástěrku, ale zároveň i rutiny, které prohledávaly soubory Rust (*.rs) v projektu a v případě nalezení soukromých klíčů je odesílaly na řídicí server prostřednictvím HTTP POST požadavků. Správci platformy crates.io po oznámení balíčky odstranili, zablokovali oba účty a uchovali protokoly i škodlivý kód pro další analýzu.

Podle Waltera Pearce z Crates.io se škodlivý kód spouštěl až při běhu programu, nikoli během kompilace nebo stahování, což znesnadňovalo jeho odhalení. Balíčky přitom kopírovaly zdrojový kód, funkce i dokumentaci legitimní knihovny fast_log a používaly podobný název, což je klasická technika typosquattingu. Kromě toho útočníci napodobili i oficiální RPC endpoint Solana, aby jejich infrastruktura působila důvěryhodně.

Analýza ukázala, že podvodné balíčky neměly žádné závislé downstream projekty a nebyly součástí veřejně publikovaných balíčků na registru Rust. Účet dumbnbased existoval již od května 2023, zatímco rustguruman byl založen ve stejný den, kdy došlo k nahrání balíčků. „Tato kampaň ukazuje, jak málo stačí k vytvoření reálného rizika v dodavatelském řetězci softwaru. Logger se známým názvem a převzatým designem může snadno projít kontrolou, zatímco skrytý modul odešle klíče peněženek útočníkovi,“ uvedl Boychenko.

Podle něj sice kód neběžel při sestavení ani stahování, ale pouze při spuštění programu, přesto šlo o vážné riziko pro každého, kdo balíčky použil. Ačkoli se neprokázalo, že by je využívaly veřejné projekty, počet stažení ukazuje na významnou míru šíření v rámci menšího ekosystému, jakým Rust je. Celkově tak incident potvrzuje, jak snadno mohou být open-source komunity zneužity k distribuci malwaru a jak důležitá je kontrola závislostí i opatrnost při jejich výběru.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS

Výrobci autobusů varují před nesplněním cílů do roku 2030, bez masivní výstavby nabíječek je přechod na elektřinu nemožný

Asociace evropských výrobců automobilů (ACEA) vydala naléhavé varování. Ambiciózní cíle Evropské unie na snížení emisí CO2 u těžkých nákladních vozidel, včetně autobusů a dálkových autokarů,

Číst dále »

3 října, 2025