Siber güvenlik araştırmacıları, Windows, macOS ve Linux sistemlerini hedef alabilen ve Ethereum Sanal Makinesi (EVM) birimi yardımcı aracı gibi görünerek geliştirici makinelerde gizlice yürütülebilecek kötü amaçlı işlevsellik içeren kötü amaçlı bir Rust paketi keşfetti.
“Evm-units” adı verilen Rust sandığı, Nisan 2025’in ortasında “ablerust” adlı bir kullanıcı tarafından Crates.io’ya yüklendi ve son sekiz ayda 7.000’den fazla indirme yapıldı. Aynı yazar tarafından oluşturulan “uniswap-utils” adlı başka bir paket, bağımlılık olarak “evm-units”i listeliyordu. 7.400’den fazla kez indirildi. Paketler o zamandan beri paket deposundan kaldırıldı.
Soket güvenlik araştırmacısı Olivia Brown bir raporda, “Kurbanın işletim sistemine ve Qihoo 360 antivirüsünün çalışıp çalışmadığına bağlı olarak paket bir veri indiriyor, bunu sistemin geçici dizinine yazıyor ve sessizce çalıştırıyor.” dedi. “Paket, Ethereum sürüm numarasını döndürüyor gibi görünüyor, bu nedenle kurbanın hiç de haberi yok.”
Paketin dikkate değer bir yönü, Çinli güvenlik satıcısı Qihoo 360 tarafından geliştirilen bir antivirüs yazılımı olan 360 Total Security ile ilişkili yürütülebilir bir dosya olan “qhsafetray.exe” işleminin varlığını kontrol etmek için açıkça tasarlanmış olmasıdır.
Özellikle paket, harici bir URL’nin (“download.videotalks”) kodunu çözen ve ona ulaşan “get_evm_version()” adlı görünüşte zararsız bir işlevi çağırmak üzere tasarlanmıştır.[.]Çalıştırıldığı işletim sistemine bağlı olarak bir sonraki aşama yükünü almak için xyz”) –
- Linux’ta bir komut dosyasını indirir, /tmp/init dizinine kaydeder ve nohup komutunu kullanarak arka planda çalıştırarak saldırganın tam kontrolü ele geçirmesini sağlar.
- MacOS’ta init adlı bir dosyayı indirir ve onu nohup komutuyla arka planda osascript kullanarak çalıştırır.
- Windows’ta yükü geçici dizine bir PowerShell komut dosyası (“init.ps1”) olarak indirip kaydeder ve betiği çağırmadan önce çalışan işlemleri “qhsafetray.exe” açısından kontrol eder.
İşlemin mevcut olmaması durumunda, görünür penceresi olmayan gizli bir PowerShell betiğini çalıştıran bir Visual Basic Betiği sarmalayıcısı oluşturur. Antivirüs işlemi algılanırsa doğrudan PowerShell’i çağırarak yürütme akışını biraz değiştirir.
Brown, “Qihoo 360’a bu odaklanma nadir, açık ve Çin odaklı bir hedefleme göstergesidir, çünkü Qihoo 360 önde gelen bir Çin internet şirketidir” dedi. “Asya, perakende kripto para birimi faaliyeti için en büyük küresel pazarlardan biri olduğundan, bu durum kripto hırsızlığı profiline uyuyor.”
Ethereum blok zinciri üzerine inşa edilmiş merkezi olmayan bir kripto para birimi değişim protokolü olan EVM ve Uniswap’e yapılan atıflar, tedarik zinciri olayının, paketleri Ethereum ile ilgili yardımcı programlar olarak dağıtarak Web3 alanındaki geliştiricileri hedef almak için tasarlandığını gösteriyor.
Brown, “Kötü amaçlı koddan sorumlu tehdit aktörü Ablerust, görünüşte zararsız bir işlevin içine platformlar arası ikinci aşama yükleyici yerleştirdi” dedi. “Daha da kötüsü, bağımlılık yaygın olarak kullanılan başka bir pakete (uniswap-utils) çekildi ve kötü amaçlı kodun başlatma sırasında otomatik olarak yürütülmesine izin verildi.”