کمیته رکن چهارم – پژوهشگران امنیت سایبری موفق به شناسایی یک بسته مخرب در زبان Rust شدهاند که با هدف آلودهسازی سیستم توسعهدهندگان Web3 در پلتفرمهای ویندوز، لینوکس و مکاواس طراحی شده است. این بسته تحت عنوان ابزار مرتبط با ماشین مجازی اتریوم معرفی شده و بهطور پنهانی روی سیستم قربانی اجرا میشود.
به گزارش کمیته رکن چهارم، بستهی مخرب با نام evm-units در فروردین ۱۴۰۴ در پایگاه crates.io منتشر شده و تاکنون هزاران بار دانلود شده است. نسخه دیگری از همین بدافزار با نام uniswap-utils نیز شناسایی شده که evm-units را بهعنوان وابستگی در خود داشته و بارگیریهای متعددی را ثبت کرده است. هر دو بسته اکنون از مخزن رسمی حذف شدهاند.
بدافزار بهگونهای طراحی شده که بسته به سیستمعامل، رفتار متفاوتی از خود نشان میدهد. در لینوکس و مکاواس از طریق اجرای اسکریپت در پسزمینه فعال میشود و در ویندوز با بررسی وجود آنتیویروس Qihoo 360، تصمیمگیری میکند که از PowerShell یا اسکریپت ویژوال بیسیک برای اجرای payload استفاده کند. این اقدام بهطور خاص کاربران چینی را هدف قرار داده است.
تحلیلها نشان میدهد که نویسنده این بدافزار با نام Ablerust، از تکنیکهایی برای پنهانسازی کد مخرب در توابع بیضرر استفاده کرده و با اضافه کردن آن به بستههایی با ظاهر معتبر مانند ابزارهای مرتبط با اتریوم، توسعهدهندگان Web3 را در معرض خطر قرار داده است.
کارشناسان هشدار دادهاند این حمله نمونهای از تهدیدهای پیچیده در زنجیره تأمین نرمافزارهای متنباز است که بهراحتی میتواند به سیستمهای توسعه و پروژههای بلاکچین نفوذ کند. توصیه میشود توسعهدهندگان تمامی وابستگیها را با دقت بررسی و سیستمهای خود را برای شناسایی رفتارهای مشکوک پایش کنند.
