Los investigadores de ciberseguridad han descubierto un paquete Rust malicioso que puede apuntar a sistemas Windows, macOS y Linux y proporciona una funcionalidad maliciosa que puede ejecutarse en secreto en máquinas de desarrollo haciéndose pasar por una herramienta auxiliar para la unidad de máquina virtual Ethereum (EVM).
La caja Rust, llamada “evm-units”, fue cargada en crates.io por un usuario llamado “ablerust” a mediados de abril de 2025 y ha experimentado más de 7000 descargas en los últimos ocho meses. Otro paquete creado por el mismo autor, “uniswap-utils”, incluía “evm-units” como dependencia. Se ha descargado más de 7.400 veces. Desde entonces, los paquetes se eliminaron del repositorio de paquetes.
“Dependiendo del sistema operativo de la víctima y de si Qihoo 360 Antivirus se está ejecutando, el paquete descarga una carga útil, la escribe en el directorio temporal del sistema y la ejecuta silenciosamente”, dijo en un informe Olivia Brown, investigadora de seguridad de Socket. “El paquete parece devolver el número de versión de Ethereum, por lo que la víctima no lo sabe”.
Un aspecto notable del paquete es que está diseñado explícitamente para verificar la presencia del proceso “qhsafetray.exe”, un archivo ejecutable asociado con 360 Total Security, un software antivirus desarrollado por el proveedor de seguridad chino Qihoo 360.
Específicamente, el paquete está diseñado para llamar a una función aparentemente inofensiva llamada “get_evm_version()”, que decodifica y accede a una URL externa (“download.videotalks(.)xyz”) para recuperar una carga útil de la siguiente etapa dependiendo del sistema operativo en el que se esté ejecutando.
- En Linux, descarga un script, lo almacena en /tmp/init y lo ejecuta en segundo plano usando el comando nohup, lo que permite al atacante obtener control total.
- En macOS, descarga un archivo llamado init y lo ejecuta en segundo plano usando Osascript usando el comando nohup.
- En Windows, descarga la carga útil y la guarda como un archivo de script de PowerShell (“init.ps1”) en el directorio temporal y verifica los procesos en ejecución en busca de “qhsafetray.exe” antes de llamar al script.
Si el proceso no existe, crea un contenedor de secuencias de comandos de Visual Basic que ejecuta una secuencia de comandos de PowerShell oculta sin una ventana visible. Cuando se detecta el proceso antivirus, cambia ligeramente su flujo de ejecución llamando directamente a PowerShell.
“Este enfoque en Qihoo 360 es un indicador de orientación poco común, explícito y centrado en China, ya que es una empresa líder de Internet en China”, dijo Brown. “Se ajusta al perfil de robo de criptomonedas, ya que Asia es uno de los mercados mundiales más grandes para la actividad minorista de criptomonedas”.
Las referencias a EVM y Uniswap, un protocolo descentralizado de intercambio de criptomonedas construido sobre la cadena de bloques Ethereum, sugieren que el incidente de la cadena de suministro tiene como objetivo apuntar a los desarrolladores en el espacio Web3 al hacer pasar los paquetes como utilidades relacionadas con Ethereum.
“Ablerust, el actor de amenazas responsable del código malicioso, incorporó un cargador de segunda etapa multiplataforma en una función aparentemente inocua”, dijo Brown. “Peor aún, la dependencia se incorporó a otro paquete ampliamente utilizado (uniswap-utils), lo que permitió que el código malicioso se ejecutara automáticamente durante la inicialización”.
About The Author
