Rust Blog
·
crates.io:恶意包faster_log和async_println
💡
原文英文,约400词,阅读约需2分钟。
📝
内容提要
2025年9月24日,crates.io团队发现两个恶意包faster_log和async_println,旨在窃取以太坊和Solana私钥。恶意代码已被删除,用户账户已禁用。感谢相关团队的报告与支持。
🎯
关键要点
- 2025年9月24日,crates.io团队发现两个恶意包faster_log和async_println,旨在窃取以太坊和Solana私钥。
- faster_log于2025年5月25日发布,下载次数为7181次;async_println同样于2025年5月25日发布,下载次数为1243次。
- 恶意代码在运行时执行,而不是在构建时执行,这些包模仿合法包的源代码和功能,属于拼写欺骗。
- 相关用户账户已被立即禁用,恶意包已于2025年9月24日15:34 UTC从crates.io删除。
- 恶意包的代码在日志打包操作中插入了窃取私钥的功能,搜索特定格式的以太坊和Solana私钥。
- 恶意包将窃取的结果发送到指定的外部地址,且这些包没有其他依赖的下游包。
- 感谢Kirill Boychenko的报告,以及crates.io团队和Rust安全响应工作组的其他成员的支持。
➡️
