Siber güvenlik araştırmacıları, kaynak kodundan Solana ve Ethereum cüzdan anahtarlarını çalmak için FAST_LOG adlı meşru bir kütüphaneyi taklit eden iki kötü niyetli pas sanatı keşfettiler.
Yazılım tedarik zinciri güvenlik şirketi soketine göre, Faster_log ve Async_println adlı kasalar, 25 Mayıs 2025’te takma adı Rustguruman ve 25 Mayıs 2025’te aptalca olarak yayınlandı.
Güvenlik araştırmacısı Kirill Boychenko, “Sandıklar, Solan ve Ethereum özel anahtarları için kaynak dosyalarını tarayan kapak için çalışma günlüğü kodu ve gömme rutinleri içeriyor, ardından HTTP Post üzerinden eşleşmeleri sabit kodlu bir komut ve kontrol (C2) uç noktasına ekleyin.” Dedi.
Sorumlu açıklamayı takiben, Crates.io’nun bakıcıları pas paketlerini kaldırmak ve iki hesabı devre dışı bırakmak için adımlar atmıştır. Ayrıca, daha ileri analizler için kötü amaçlı kasalarla birlikte tehdit aktörüyle çalışan kullanıcıların günlüklerini korumuştur.
Crates.io’dan Walter Pearce, “Kötü amaçlı kod, bir proje çalıştırırken veya test ederken çalışma zamanında yürütüldü.” Dedi. “Özellikle, yapı zamanında herhangi bir kötü amaçlı kod yürütmediler. Kötü amaçlı yükleri hariç, bu kasalar, kendilerine benzer bir isim kullanarak kaynak kodunu, özelliklerini ve meşru kasaların belgelerini kopyaladı.”
Soket tarafından detaylandırıldığı gibi yazım hatası saldırısı, gerçek kütüphanenin günlük işlevselliğini koruyan tehdit aktörlerini içeriyordu ve ethereum ve Solana özel tuşları için bir dizinde (*.rs) bir günlük paketleme işlemi sırasında kötü niyetli kod değişiklikleri getiriyor ve bunları bir bulut işçileri modians (*prensnet) için bir dizin içinde bir dizin (*.rs).[.]dev “).
Fast_log’un ReadMe’yi kopyalamanın ve sahte kasaların depo alanını gerçek GitHub projesine ayarlamanın yanı sıra, “mainnet.solana-rpc-pool.[.]Dev “Solana’nın Mainnet Beta RPC uç noktasını taklit etme girişimi” API.mainnet-Beta.Solana[.]com. “
Crates.io’ya göre, iki kasanın herhangi bir bağımlı aşağı akış sandıkları yoktu ve kullanıcılar Rust Paket Kayıt Defteri’nde başka kasalar yayınlamadı. Crates.io Yayıncı Hesaplarına bağlı GitHub hesapları yazma olarak erişilebilir olmaya devam etmektedir. Github hesabı aptalca 27 Mayıs 2023’te oluşturulurken, Rustguruman 25 Mayıs 2025’e kadar mevcut değildi.
Boychenko, “Bu kampanya, asgari kodun ve basit aldatmanın nasıl bir tedarik zinciri riski yaratabileceğini gösteriyor.” Dedi. “Tanıdık bir adı, kopyalanmış tasarım ve ReadMe’ye sahip fonksiyonel bir kayıt cihazı gündelik incelemeyi geçebilirken, küçük bir rutin özel cüzdan anahtarlarını tehdit aktör kontrollü C2 uç noktasına gönderir. Ne yazık ki, geliştirici dizüstü bilgisayarlarına ve CI’ye ulaşmak için yeterlidir.”