Исследователи выявили вредоносный Rust crate, известный как evm-units, который маскируется под утилиту для проверки версии виртуальной машины Ethereum (EVM), но на самом деле служит переносчиком кроссплатформенных полезных нагрузок с целью кражи криптовалюты. Внешне безобидная функция get_evm_version() инициирует скрытую цепочку действий, приводящую к загрузке и выполнению вторичных компонент на целевых системах.
Суть угрозы
На первый взгляд crate выглядит как легитимный помощник для возврата номера версии EVM. Однако при вызове get_evm_version() выполняется не только возврат константного значения, но и последовательность операций по загрузке и запуску вредоносной полезной нагрузки. Возвращаемое значение настроено таким образом, чтобы всегда совпадать с предопределенной константой, что вводит в заблуждение разработчиков и автоматизированные механизмы проверки.
«Замаскированное под помощника для проверки версий виртуальной машины Ethereum (EVM), это вредоносное ПО использует свой законный внешний вид для быстрого выполнения, не вызывая подозрений у пользователей».
Поведение по платформам
Механизм распространения и исполнения полезной нагрузки различается в зависимости от ОС:
- macOS: вредоносное ПО загружает исполняемый файл с именем init во временный каталог и запускает его с помощью osascript, вызванного через nohup. Это позволяет процессу продолжаться в фоне без видимых признаков для пользователя.
- Windows: полезная нагрузка сохраняется как скрипт PowerShell (.ps1) во временном каталоге. Замечено, что malware выполняет проверку наличия защиты от Qihoo 360, вероятно, чтобы избежать обнаружения или выполнения при наличии этого AV-решения.
- Linux: реализация работает схожим образом с загрузчиком второго этапа, но конкретные детали полезной нагрузки в Linux менее подробно представлены в отчете по сравнению с macOS и Windows.
Тактики уклонения и соответствие MITRE ATT&CK
Поведение evm-units согласуется с несколькими техниками из MITRE ATT&CK, что указывает на продуманный набор приемов для внедрения и сокрытия активности:
- Компрометация цепочки поставок — T1195
- Использование интерпретатора командной строки и сценариев — T1059
- Выполнение с участием пользователя вредоносного файла — T1204.002
- Запутывание, внедрение кода в процесс и выполнение через Web-протоколы — сопутствующие техники в рамках общей цепочки атаки
Почему это опасно
Угроза представляет собой многогранный переносчик инфекции, сочетающий в себе:
- маскировку под легитимный crate и функцию, ожидаемую в экосистеме разработки;
- кроссплатформенность (macOS, Windows, Linux);
- механизмы бесшумного выполнения и автозапуска вторичных компонентов;
- попытки обойти определенные AV-решения (включая проверку на Qihoo 360);
- обманчивое поведение функции, возвращающей предопределённую константу, что снижает вероятность обнаружения.
Индикаторы компрометации (IOC)
- Наличие зависимости evm-units в Cargo.toml/lock-файлах без явной необходимости.
- Вызовы функции get_evm_version() в кодовой базе или зависимостях.
- Создание/запуск файла init в временных каталогах на macOS с использованием osascript и nohup.
- Сохранение и выполнение скриптов .ps1 во временных каталогах на Windows.
- Необычная проверка наличия Qihoo 360 в системе.
Рекомендации
Для уменьшения риска заражения и хищения средств из-за подобных злоупотреблений цепочкой поставок рекомендуется:
- Проверять и минимизировать сторонние зависимости: проводить аудит Rust crates и подключать только проверенные пакеты.
- Закреплять версии зависимостей (version pinning) и использовать reproducible builds.
- Внедрять автоматизированные проверки безопасности и сканирование на вредоносный код в CI/CD-пайплайнах.
- Ограничивать исполнение скриптов и команд во временных каталогах; мониторить создание и запуск файлов в /tmp, %TEMP% и аналогичных директориях.
- Настроить EDR/AV на выявление подозрительных вызовов osascript, nohup, PowerShell-скриптов и необычных сетевых обращений.
- Проверять целостность исходников и бинарников, а также подписывать релизы и артефакты.
- Обучать разработчиков и DevOps-команды рискам цепочки поставок и принципам безопасного использования зависимостей.
Вывод
evm-units демонстрирует, как компактный, на первый взгляд легитимный crate может стать эффективным переносчиком для скрытой загрузки и исполнения вредоносных компонентов на разных платформах. Комбинация маскировки, платформозависимых механизмов запуска и техник уклонения подчеркивает растущую угрозу атак через цепочку поставок в экосистемах разработки. Разработчикам и организациям необходимо повысить бдительность, ужесточить контроль зависимостей и интегрировать меры безопасности на всех этапах жизненного цикла ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносный Rust crate evm-units: скрытая кража криптовалюты через цепочку поставок".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.