Selon Socket (blog), l’équipe Threat Research a identifié deux crates Rust malveillantes, fasterlog et asyncprintln, qui usurpent la bibliothèque légitime fast_log et dérobent des clés privées de portefeuilles crypto. Les paquets auraient totalisé 8 424 téléchargements avant leur retrait par l’équipe sécurité de Crates, qui a aussi verrouillé les comptes associés.

— Découverte et impact — • Type d’attaque : attaque de la chaîne d’approvisionnement via des crates Rust malveillantes. • Produits concernés : crates fasterlog et asyncprintln (imitation de fast_log). • Impact : vol de clés privées Ethereum et Solana, avec 8 424 téléchargements observés avant la suppression. • Réponse de l’écosystème : retrait des paquets et verrouillage des comptes par l’équipe Crates.

— Détails techniques — • Détection par regex de trois catégories de secrets :

  • Clés privées Ethereum au format 0x suivi de 64 caractères hexadécimaux.
  • Tokens Base58 compatibles avec des adresses/artefacts Solana.
  • Tableaux d’octets entre crochets encodant du matériel cryptographique. • Les correspondances sont packagées avec les chemins de fichier et numéros de ligne, puis exfiltrées en JSON via reqwest vers l’URL : https://mainnet.solana-rpc-pool.workers.dev. • Comportement : présence d’un code de logging fonctionnel comme leurre et scan récursif de tous les fichiers .rs dans des répertoires ciblés à l’exécution.

— Recommandations rapportées par la source — • Traiter l’événement comme un incident de chaîne d’approvisionnement. • Retirer ces crates, faire pivoter tout secret exposé et renforcer les contrôles de sécurité.

— IOCs et TTPs — • IOCs

  • Crates malveillantes : fasterlog, asyncprintln
  • Domaine d’exfiltration : mainnet.solana-rpc-pool.workers.dev • TTPs
  • Impersonation d’un package légitime (fast_log)
  • Recherche par regex de secrets (Ethereum 0x+64 hex, Base58 Solana, tableaux d’octets)
  • Exfiltration HTTP en POST JSON via reqwest
  • Scan récursif des fichiers .rs et collecte de chemins/numéros de ligne
  • Camouflage via code de logging légitime

Article d’analyse de menace visant à documenter une campagne de packages malveillants et ses techniques d’exfiltration.

🧠 TTPs et IOCs détectés

TTPs

Impersonation d’un package légitime (fast_log), Recherche par regex de secrets (Ethereum 0x+64 hex, Base58 Solana, tableaux d’octets), Exfiltration HTTP en POST JSON via reqwest, Scan récursif des fichiers .rs et collecte de chemins/numéros de ligne, Camouflage via code de logging légitime

IOCs

Crates malveillantes: fasterlog, asyncprintln, Domaine d’exfiltration: mainnet.solana-rpc-pool.workers.dev

🔗 Source originale : https://socket.dev/blog/two-malicious-rust-crates-impersonate-popular-logger-to-steal-wallet-keys