crates.io プラットフォームで、新たなソフトウェアサプライチェーン侵害の事例が発覚した。悪意ある Rust パッケージが、Ethereum 仮想マシン向けの補助ツールを装い、3 大デスクトップ OS に挙動を適応させながら、Web3 開発者のワークステーションを密かに感染させていた。
「evm-units」と題されたこのパッケージは、2025 年 4 月中旬に、「ablerust」 というユーザーによってリポジトリにアップロードされた。8 か月の間に 7,000 回以上ダウンロードされている。同じ作者は、依存関係として「evm-units」を指定した追加パッケージ「uniswap-utils」も公開しており、こちらはさらに 7,400 回以上ダウンロードされていた。両プロジェクトはすでにプラットフォームから削除されているものの、悪意あるコードはすでにエコシステム全体に広く拡散していた。
Socket 社によると、有害な機能は一見無害に見える「get_evm_version().」という関数の内部に隠されていた。本来であれば Ethereum のバージョン文字列を返すだけのはずが、実際には被害者の OS を特定し、プロセス 「qhsafetray.exe」 が動作しているかを確認し、攻撃の次段階を取得するために外部リソース download.videotalks[.]xyz に問い合わせていた。
プラットフォームごとに別々のペイロードがバックグラウンドでダウンロード・実行される仕組みになっていた。Linux では /tmp/init にスクリプトが保存され、nohup 経由で起動される。macOS では init という名前のファイルが osascript と nohup を用いて実行される。Windows では、一時ディレクトリに PowerShell スクリプト init.ps1 が書き込まれ、秘匿的に実行されていた。
このマルウェアの設計では、中国企業 Qihoo 360 の製品「360 Total Security」に特に注意が払われている。プロセス 「qhsafetray.exe」 の有無によって実行経路が変化し、存在しない場合は PowerShell を不可視で起動する Visual Basic Script ラッパーが作成され、検出された場合は、より直接的な PowerShell 呼び出しに切り替わる。
Socket の研究者 Olivia Brown は、このロジックを、中国およびより広いアジア地域のユーザーを意図的に標的にしている証左だと見ている。同地域では、個人向け暗号資産市場が世界最大級の規模を維持しているためだ。
EVM や Uniswap プロトコルへの言及により、攻撃者は悪意あるコードを Web3 開発エコシステムに自然に紛れ込ませ、Ethereum を扱うための便利なユーティリティ群として偽装することに成功した。依存関係チェーンがリスクを増幅させており、人気ライブラリ「uniswap-utils」の内部に「evm-units」を組み込むことで、そのライブラリを利用するプロジェクトが初期化されるたびに、悪意あるローダーが自動的に実行される状態になっていた。
このインシデントは、オープンなコードリポジトリを経由した攻撃がいかに危険なものになっているか、そしてブロックチェーン開発者が統合するあらゆるモジュールについて、その構成と出自を精査することがいかに重要かを如実に示している。
