Giriş
Son dönemde siber güvenlik dünyasında dikkat çeken bir olaya tanık oluyoruz. Araştırmacılar, açık kaynak kodlu bir Rust paketinin, geliştiricilerin sistemlerine kötü niyetli yazılımlar yükleyebileceğini keşfetti. Bu paket, Ethereum Sanal Makinesi (EVM) yardımcı aracı olarak kendini gösteriyor. Fakat gerçekte, Windows, macOS ve Linux sistemlere yönelik saldırılar düzenleyebiliyor.
Malicious Rust Crate: EVM-Units
2025 yılı Nisan ayında “ablerust” isimli bir kullanıcı tarafından evm-units isimli Rust crate’i, crates.io platformuna yüklendi. Geçen sekiz ay boyunca 7,000’den fazla indirme sayısına ulaştı. Aynı kullanıcı tarafından oluşturulan “uniswap-utils” paketi, “evm-units” bağımlılığını içeriyor ve 7,400’den fazla indirme aldı. Bu paketler, daha sonra güvenlik gerekçesiyle kaldırıldı.
Yöntem ve Tespit
Siber güvenlik araştırmacısı Olivia Brown’un raporuna göre, bu paket, kullanıcının işletim sistemine bağlı olarak çeşitli kötü niyetli yükler indiriyor ve gizlice çalıştırıyor. Kullanıcı, paketin geçerli bir EVM sürüm numarası döndüğünü düşündüğü için saldırının farkında bile olmuyor.
Paketin dikkat çekici bir özelliği, “qhsafetray.exe” adlı bir işlem için kontrol yapmasıdır. Bu işlem, Çinli Qihoo 360 güvenlik yazılımına ait bir yürütülebilir dosyadır.
Yükleme ve Çalıştırma Süreci
Paket, “get_evm_version()” adında masum görünümlü bir fonksiyon aracılığıyla dış bir URL’den yükleme yapıyor. İlgili işletim sistemine göre ise:
- Linux: Bir script indirip, /tmp/init dizinine kaydederek nohup komutu ile arka planda çalıştırıyor.
- macOS: “init” adlı bir dosyayı indirip, osascript ile arka planda çalıştırıyor.
- Windows: “init.ps1” adıyla bir PowerShell script dosyasını temp dizinine indiriyor ve “qhsafetray.exe” kontrolü yapıyor.
Antivirüs süreci mevcut değilse, görünmez bir pencerede çalışan bir PowerShell scripti için Visual Basic Script sarmalayıcı oluşturuyor. Eğer antivirüs mevcutsa, çalıştırma akışını biraz değiştirerek doğrudan PowerShell’i çağırıyor.
Hedef ve Sonuç
Qihoo 360’a özel bu odaklanma, nadir görülen bir hedefleme göstergesi olarak kaydedildi. Asya, perakende kripto para etkinliğinin en büyük pazarlarından biri olduğundan, bu saldırının kripto hırsızlığı profiline uyduğu saptandı.
Geliştirilmiş olan EVM ve Uniswap referansları, bu tedarik zinciri olayının Web3 alanındaki geliştiricileri hedef almak amacıyla tasarlandığını gösteriyor. Ablerust’un kötü amaçlı kodu, zararsız görünen bir fonksiyonun içine yerleştirilmiş bir çarpraz platform ikinci aşama yükleyici ile gizlenmiş durumda.
Bu çerçevede, kötü niyetli yazılımlar açık kaynak projelerine entegre edilerek, özellikle göz ardı edilen güvenlik açıklarından yararlanmayı hedefliyor. Geliştiricilerin dikkatli olması ve bağımlılıkların kaynağını her zaman sorgulaması gerektiği açıktır.
