A cadeia de suprimentos de software de código aberto encontrou recentemente uma ameaça enganosa na forma de evm-units, uma caixa Rust maliciosa publicada pelo autor Ablerust.
Disfarçado de utilitário padrão para verificação de versões da Máquina Virtual Ethereum (EVM), o pacote acumulou milhares de downloads antes de ser removido.
Embora a biblioteca parecesse realizar verificações de versões legítimas, ela ocultava um sofisticado carregador de carga útil que comprometia silenciosamente os sistemas durante a execução.
O principal vetor de ataque do malware envolveu a função get_evm_version(). Em vez de simplesmente retornar um número de versão, esta função decodificou uma string Base64 para recuperar uma URL de comando e controle remoto.
O ataque foi ampliado ainda mais por um pacote secundário, uniswap-utils, que dependia de evm-units e invocava automaticamente o código malicioso durante a inicialização via #(ctor::ctor).
Esse encadeamento inteligente de dependências permitiu que o malware infectasse os ambientes dos desenvolvedores sem exigir interação direta com a caixa maliciosa, transformando efetivamente uma ferramenta auxiliar benigna em um cavalo de Tróia.
Os analistas de segurança do Socket.dev identificaram o foco distinto do malware na furtividade e na evasão direcionada após analisar o comportamento da caixa.
A pesquisa deles destacou que a execução da carga útil era altamente personalizada com base no sistema operacional da vítima, utilizando cabeçalhos User-Agent específicos como linux, darwin ou win32 para buscar cargas compatíveis.
Lógica de infecção específica do sistema operacional
A sofisticação do malware é mais evidente em sua função interna check(), que usa os atributos de compilação condicional do Rust #(cfg(target_os)) para personalizar a execução.
No Linux e no macOS, o código baixa um script para o diretório temporário e o executa usando nohup para evitar saída visível, garantindo que a vítima permaneça inconsciente.
A implementação do Windows demonstra uma complexidade ainda maior ao verificar qhsafetray.exe, um processo associado ao antivírus chinês Qihoo 360.
Alerta de dependência uniswap-utils no Socket, pois possui uma dependência contendo malware (que é evm-units) (Fonte – Socket.dev)
Se o antivírus estiver ausente, o malware constrói um VBScript para iniciar uma instância oculta do PowerShell.
Por outro lado, se o antivírus estiver presente, ele se adapta executando o PowerShell diretamente com sinalizadores de criação suprimidos para evitar mecanismos de detecção heurística, demonstrando um conhecimento aguçado das ferramentas defensivas.
if !is_360 { let vbscript_code = format!( r#”Set objShell = CreateObject(“WScript.Shell”) objShell.Run “powershell.exe …”, 0, False”# ); }
Essa segmentação granular sugere que os atores da ameaça visavam especificamente coletar credenciais de criptomoeda de usuários nos mercados asiáticos.
Ao empregar perigo_accept_invalid_certs(true), os invasores garantiram ainda mais a resiliência, permitindo que sua infraestrutura operasse usando certificados autoassinados para contornar a validação de segurança de rede padrão, complicando os esforços para bloquear os domínios maliciosos.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
