CoinFubi

安全研究人员发现一个伪装成以太坊虚拟机工具的有害 Rust 包，能够感染 Windows、macOS 与 Linux 环境。该 crate 名为 evm-units，似乎在 crates.io 上于 2025 年 4 月中旬出现，作者使用的账户名为 ablerust，在八个月内累计下载量超过 7,000 次。相关包 uniswap-utils 将 evm-units 作为依赖，在两者从仓库中移除之前下载量超过 7,400 次。该恶意软件旨在融入合法的 Web3 开发工作流，对外显示看似合理的以太坊版本号，以混淆其实质。

研究人员指出，该恶意软件的行为会因操作系统以及是否启用某个特定防病毒工具而异。它获取有效载荷，将其放置在系统的临时目录中，并对外静默执行。调查人员强调，此次活动通过将恶意 crate 打造成以太坊开发工具来瞄准 Web3 供应链，使其能够通过嵌入常用辅助函数的跨平台加载器在初始化阶段自动运行。一个显著的迹象是故意检查 qhsafetray.exe 的存在，该进程与奇虎 360 的 360 Total Security 相关，表明具备有针对性的检测与规避能力。

执行后，加载器下载了针对受害者操作系统定制的第二阶段有效载荷。在 Linux 上，它下载了一个名为 nulltmpnullinit 的脚本，并通过 nohup 在后台启动，给予攻击者对系统的远程控制权限。在 macOS 上，它检索到一个名为 init 的文件，并使用 osascript 搭配 nohup 在后台执行。在 Windows 上，它将名为 init.ps1 的 PowerShell 脚本下载到临时目录，然后扫描 qhsafetray.exe；若未检测到该进程，它会将一个隐藏的 PowerShell 会话封装在一个 Visual Basic Script 中；若检测到防病毒进程存在，它会调整执行顺序但仍使用 PowerShell。这种面向操作系统的分支有助于维持持久性，同时降低被检测的风险。

调查人员得出结论，此事件凸显了开源生态系统中供应链攻击的日益增长的威胁，尤其是在区块链开发具有强大经济激励的领域。该恶意依赖项被嵌入广泛使用的软件包，使得代码能够在初始化阶段运行，而开发者并未显式调用可疑函数。安全专业人士呼吁对软件包源及依赖项进行更严格的审查，特别是在与加密活动相关的行业。