一款看似无害的以太坊开发者工具被揭露为 复杂的隐身加载器。Socket 威胁研究团队近期发现一个名为 evm-units 的恶意 Rust 包(用户 ablerust 开发),在被移除前累计下载量超 7,000 次。该包在 Crates.io 仓库存在八个月,伪装成处理以太坊虚拟机(EVM)单位的工具,实则隐藏着旨在 静默执行的危险 payload。
恶意软件的核心欺骗性在于 “明处隐藏”。对普通观察者或运行测试的开发者而言,包表现正常:“它会返回以太坊版本号,让受害者完全无察觉。”
但 get_evm_version() 函数远不止返回简单整数。研究人员警告:“调用该函数检查版本号时,会启动一系列最终导致入侵的步骤。”
触发后,函数会解码隐藏的 Base64 URL,并下载针对受害者操作系统(Linux/macOS/Windows)的恶意 payload。执行过程设计为 极致隐身:
-
Linux/macOS:通过
nohup在后台运行 payload,抑制所有终端输出 - Windows:利用 VBScript 包装器执行隐藏的 PowerShell 窗口,确保用户屏幕无任何显示
evm-units 最显著的特征是其在 Windows 系统上的特定行为,强烈暗示威胁者 重点关注亚洲市场受害者。
执行 payload 前,恶意软件会检查系统是否存在 qhsafetray.exe
报告指出若检测到杀毒软件,恶意软件会 切换执行方式:放弃 VBScript 包装器,直接使用 PowerShell 命令以绕过检测。
攻击不仅限于直接安装 evm-units 的用户。威胁者还通过创建第二个包 uniswap-utils 污染供应链——该包声称是热门去中心化交易所 Uniswap 的辅助库。
研究人员解释:“同一作者开发的 uniswap-utils 看似完全无害,但它依赖 evm-units 并在文件中调用其函数。”
这种依赖通过 Rust 的 自动执行特性 被武器化:“恶意代码因 #[ctor::ctor] 注解在初始化时自动运行,构成典型的供应链攻击。”
尽管该包已从 Crates.io 移除,但其八个月的生命周期和定向攻击模式仍发出严厉警告。“包名称和代码行为(EVM 工具、仿 Uniswap 库),表明 payload 很可能用于 窃取加密货币。”
发表评论
您还未登录,请先登录。
登录