2025年9月25日Ravie Lakshmananソフトウェアセキュリティ / マルウェア
サイバーセキュリティ研究者は、正規のライブラリfast_logになりすました2つの悪意のあるRustクレートが、ソースコードからSolanaおよびEthereumウォレットキーを盗むことを発見しました。
これらのクレートはfaster_logおよびasync_printlnと名付けられ、脅威アクターがrustgurumanおよびdumbnbasedという別名で2025年5月25日に公開し、ソフトウェアサプライチェーンセキュリティ企業Socketによると、合計8,424件のダウンロードを集めました。
「これらのクレートはカバーストーリーとして動作するロギングコードを含み、SolanaおよびEthereumの秘密鍵をソースファイルからスキャンし、一致するものをハードコードされたコマンド&コントロール(C2)エンドポイントへHTTP POSTで流出させるルーチンを埋め込んでいます」と、セキュリティ研究者のKirill Boychenkoは述べています。
責任ある情報開示の後、crates.ioの管理者はこれらのRustパッケージを削除し、2つのアカウントを無効化する措置を取りました。また、さらなる分析のために脅威アクターが運用していたユーザーと悪意のあるクレートのログも保存されています。
「悪意のあるコードは、これらに依存するプロジェクトを実行またはテストした際のランタイムで実行されました」とCrates.ioのWalter Pearceは述べています。「特に、ビルド時には悪意のあるコードは一切実行されませんでした。悪意のあるペイロードを除けば、これらのクレートは正規クレートのソースコード、機能、ドキュメントをコピーし、類似した名前を使用していました。」
Socketによると、このタイポスクワッティング攻撃では、脅威アクターが実際のライブラリのロギング機能を保持しつつ、ログパック処理の際に悪意のあるコードを追加しました。これにより、ディレクトリ内のRustファイル(*.rs)を再帰的に検索し、EthereumおよびSolanaの秘密鍵やブラケットで囲まれたバイト配列を探し出し、それらをCloudflare Workersドメイン(”mainnet.solana-rpc-pool.workers[.]dev”)に流出させていました。
fast_logのREADMEをコピーし、偽のクレートのリポジトリフィールドを本物のGitHubプロジェクトに設定したほか、「mainnet.solana-rpc-pool.workers[.]dev」の使用は、SolanaのMainnet beta RPCエンドポイント「api.mainnet-beta.solana[.]com」を模倣しようとする試みです。
crates.ioによると、これら2つのクレートには依存する下流クレートはなく、ユーザーはRustパッケージレジストリ上で他のクレートも公開していませんでした。クレート公開者アカウントに紐づくGitHubアカウントは執筆時点でアクセス可能です。GitHubアカウントdumbnbasedは2023年5月27日に作成され、rustgurumanは2025年5月25日まで存在していませんでした。
「このキャンペーンは、最小限のコードと単純な欺瞞でサプライチェーンリスクを生み出せることを示しています」とBoychenkoは述べています。「見慣れた名前とコピーされた設計、READMEを持つ機能的なロガーは、カジュアルなレビューを通過できますが、小さなルーチンが秘密のウォレットキーを脅威アクター管理のC2エンドポイントに送信します。残念ながら、それだけで開発者のラップトップやCIに到達するには十分です。」
翻訳元: https://thehackernews.com/2025/09/malicious-rust-crates-steal-solana-and.html