اكتشف باحثو الأمن السيبراني حزمَين خبيثتين بلغة Rust انتحلا هوية مكتبة مشروعة تُدعى fast_log، بهدف مسح شيفرات المصدر لاستخراج مفاتيح محافظ Solana وEthereum الخاصة بالمستخدمين. الحزمتان، المسميتان faster_log وasync_println، نُشرتا تحت اسمَي مستخدمين مزيفين (rustguruman وdumbnbased) في 25 مايو 2025، وحققتا إجمالاً 8,424 عملية تنزيل، وفق شركة أمان سلسلة التوريد البرمجية Socket.
آلية العمل والتسريب
تضمنّت الحزم كودَ تسجيل (logging) يعمل كغطاء وظيفي، وفي الوقت نفسه تضمّنت روتيناً خبيثاً يفحص ملفات المصدر بامتداد .rs بحثاً عن مفاتيح خاصة بصيغة Solana وEthereum أو مصفوفات بايت محاطة بأقواس، ثم يرسل التطابقات إلى نقطة تحكم وسيطرة (C2) مُشفرة عبر طلب HTTP POST إلى نطاق يستضيفه Cloudflare Workers (“mainnet.solana-rpc-pool.workers[.]dev”).
الاستجابة والإزالة
بعد الإفصاح المسؤول، أزال مشرفو سجلّ الحزم crates.io الحزمتين وقاموا بتعطيل حسابي النشر، مع الحفاظ على سجلات النشاط للتحليل الجنائي لاحقاً. وأوضح مشرفو crates.io أن الكود الخبيث يُنفّذ أثناء وقت التشغيل (runtime) عند تشغيل المشروع أو اختباره، وليس أثناء وقت البناء (build time). كما بيّنوا أن الحزم نسخت ملفات المصدر والميزات والوثائق من الحزمة المشروعة لتجاوز المراجعة السطحية، مستخدمةً أسماءً متشابهة لخداع المطورين.
دلالات وسياق التهديد
تُظهر الحملة — وفق باحثي Socket — كيف يكفي كود صغير ومخادع لإحداث مخاطرة كبيرة في سلسلة التوريد البرمجية: مكتبة وظيفية مألوفة قد تمر بمراجعة عابرة، بينما تقوم روتينات بسيطة بإرسال مفاتيح محفظة إلى المهاجمين، ما يعرّض أجهزة المطورين وبيئات التكامل المستمر (CI) للخطر. أشار التقرير إلى أن الحزمتين لم يكن لهما اعتماديات نازلة (downstream) وفق بيانات crates.io، وأن حسابات GitHub المرتبطة ما تزال متاحة؛ كما لوحظ أن حساب rustguruman تم إنشاؤه في نفس يوم رفع الحزم (25 مايو 2025)، ما يعزز فرضية التحضير الخبيث المسبق.
