Cybersecurity-onderzoekers hebben een kwaadaardig Rust-pakket ontdekt dat zich kan richten op Windows-, macOS- en Linux-systemen, en beschikt over kwaadaardige functionaliteit die heimelijk kan worden uitgevoerd op ontwikkelaarsmachines door zich voor te doen als een Ethereum Virtual Machine (EVM) unit-helpertool.
De Rust-krat, genaamd “evm-units”, werd medio april 2025 geüpload naar kratten.io door een gebruiker met de naam “ablerust”, en werd de afgelopen acht maanden meer dan 7.000 keer gedownload. Een ander pakket gemaakt door dezelfde auteur, “uniswap-utils”, vermeldde “evm-units” als een afhankelijkheid. Het werd meer dan 7.400 keer gedownload. De pakketten zijn sindsdien verwijderd uit de pakketrepository.
“Op basis van het besturingssysteem van het slachtoffer en of de Qihoo 360-antivirus actief is, downloadt het pakket een payload, schrijft deze naar de tijdelijke directory van het systeem en voert deze in stilte uit”, zegt Socket-beveiligingsonderzoeker Olivia Brown in een rapport. “Het pakket lijkt het Ethereum-versienummer terug te geven, dus het slachtoffer is er niets wijzer van.”
Een opmerkelijk aspect van het pakket is dat het expliciet is ontworpen om te controleren op de aanwezigheid van het proces “qhsafetray.exe”, een uitvoerbaar bestand dat is gekoppeld aan 360 Total Security, een antivirussoftware ontwikkeld door de Chinese beveiligingsleverancier Qihoo 360.
Het pakket is specifiek ontworpen om een ogenschijnlijk onschuldige functie aan te roepen met de naam “get_evm_version()” die een externe URL (“download.videotalks(.)xyz”) decodeert en bereikt om een payload van de volgende fase op te halen, afhankelijk van het besturingssysteem waarop het wordt uitgevoerd –
- Op Linux downloadt het een script, slaat het op in /tmp/init en voert het op de achtergrond uit met behulp van de nohup-opdracht, waardoor de aanvaller volledige controle krijgt
- Op macOS downloadt het een bestand met de naam init en voert het uit met osascript op de achtergrond met de opdracht nohup
- In Windows wordt de payload gedownload en opgeslagen als een PowerShell-scriptbestand (“init.ps1”) in de map temp en worden actieve processen gecontroleerd op “qhsafetray.exe”, voordat het script wordt aangeroepen
Als het proces niet aanwezig is, wordt er een Visual Basic Script-wrapper gemaakt die een verborgen PowerShell-script uitvoert zonder zichtbaar venster. Als het antivirusproces wordt gedetecteerd, verandert het de uitvoeringsstroom enigszins door PowerShell rechtstreeks aan te roepen.
“Deze focus op Qihoo 360 is een zeldzame, expliciete, op China gerichte targetingindicator, omdat het een toonaangevend Chinees internetbedrijf is”, aldus Brown. “Het past in het profiel van cryptodiefstal, aangezien Azië een van de grootste mondiale markten is voor cryptocurrency-activiteiten in de detailhandel.”
De verwijzingen naar EVM en Uniswap, een gedecentraliseerd cryptocurrency-uitwisselingsprotocol gebouwd op de Ethereum-blockchain, geven aan dat het supply chain-incident is ontworpen om ontwikkelaars in de Web3-ruimte te targeten door de pakketten door te geven als Ethereum-gerelateerde hulpprogramma’s.
“Ablerust, de bedreigingsacteur die verantwoordelijk is voor de kwaadaardige code, heeft een platformonafhankelijke tweede fase-lader ingebed in een schijnbaar onschadelijke functie”, aldus Brown. “Erger nog, de afhankelijkheid werd in een ander veelgebruikt pakket (uniswap-utils) gestopt, waardoor de kwaadaardige code automatisch kon worden uitgevoerd tijdens de initialisatie.”
