Разработчики языка Rust предупредили о выявлении в репозитории crates.io пакетов faster_log и async_println, содержащих вредоносный код. Пакеты были размещены в репозитории 25 мая и с тех пор были загружены 8424 раза.
Для распространения пакетов атакующие воспользовались их сходством с именами популярных легитимных пакетов (тайпсквоттинг, например, faster_log вместо fast_log), поставляя изменённые клоны и рассчитывая, что пользователь не обратит внимание на несущественные отличия, найдя пакет через поиск или выбрав из списка. Оба пакета предлагали функции, применяемые для работы с логами в приложениях.
Вредоносная вставка вызывалась при выполнении или тестировании проектов, использующих пакеты faster_log и async_println в качестве зависимостей (на этапе сборки вредоносный код не активировался). Вредоносная активность сводилась к поиску в обрабатываемых логах приватных ключей криптовалют Solana и Etherum, а также комбинаций символов, похожих на ключи. Найденные ключи отправлялись на внешний сервер злоумышленников.
Дополнительно можно отметить предупреждение о новой волне фишинга против сопровождающих пакеты в каталоге PyPI. Пользователям рассылается сообщение от имении PyPI, в котором требуют подтвердить email под угрозой приостановки работы учётной записи. В сообщении имеется ссылка на форму подтверждения, которая ведёт на домен pypi-mirror.org, зарегистрированный атакующими.