Netcrook Logo
👤 NEONPALADIN
🗓️ 04 Oct 2025   🗂️ Cyber Warfare     🌍 North America

Colpo Crypto nel Codice: Crates Rust Malevoli Rubano Chiavi Solana ed Ethereum

Migliaia di sviluppatori colti in un’imboscata della supply chain mentre librerie Rust compromesse sottraggono in silenzio i segreti dei wallet crypto.

In breve

  • Due librerie Rust fasulle, faster_log e async_println, hanno rubato le chiavi dei wallet crypto dai progetti degli sviluppatori.
  • I crates malevoli hanno totalizzato oltre 8.400 download prima di essere scoperti e rimossi.
  • Gli aggressori hanno clonato l’aspetto di una libreria affidabile per non destare sospetti, esfiltrando i segreti verso un endpoint Solana dall’aspetto simile.
  • Non sono stati trovati altri progetti malevoli o dipendenze a valle, limitando la diffusione.
  • Si consiglia alle vittime di spostare gli asset digitali e ripulire i sistemi per prevenire furti.

Il Trojan Logger: Come un Nome Affidabile è Diventato un Ladro di Crypto

Immagina una cassetta di sicurezza, nascosta dietro il logo familiare di una banca - ma la porta del caveau conduce direttamente nelle mani di un ladro. È quanto accaduto il 25 maggio 2025, quando due “crates” Rust (librerie software) che si spacciavano per la popolare fast_log hanno iniziato silenziosamente a rubare le chiavi private che sbloccano i wallet Ethereum e Solana. Pubblicati su crates.io - il centro nevralgico del codice Rust - questi pacchetti, faster_log e async_println, sembravano e funzionavano come quelli autentici, rendendosi quasi invisibili agli sviluppatori impegnati.

Gli aggressori, nascosti dietro gli alias rustguruman e dumbnbased, hanno copiato non solo il codice ma anche la documentazione e i metadati, facendo apparire i loro falsi legittimi a un primo sguardo. Sotto la superficie, però, si celava una routine nascosta: ogni volta che un progetto utilizzava questi crates, il codice scansionava i file alla ricerca di segnali tipici delle chiavi crypto - stringhe e array lunghi e unici - e li inviava a un server di comando abilmente camuffato da endpoint della rete Solana.

Ombre nella Supply Chain: Una Minaccia in Crescita

Questo attacco è un esempio da manuale di violazione della “supply chain”, in cui gli aggressori avvelenano gli strumenti su cui gli sviluppatori fanno affidamento, invece di colpire direttamente gli utenti finali. Non è la prima volta: anche npm di JavaScript e PyPI di Python hanno subito simili truffe di typosquatting, in cui pacchetti malevoli imitano quelli popolari con nomi quasi identici. Nel 2021, il famigerato incidente npm “event-stream” ha esposto milioni di utenti al rischio; ora, la corsa all’oro crypto ha reso gli ecosistemi degli sviluppatori un nuovo terreno di caccia.

Ciò che rende questo caso Rust particolarmente insidioso è la sua sottigliezza. Il codice malevolo si attivava solo quando il software veniva testato o eseguito - non durante l’installazione - sfuggendo così a molti controlli di sicurezza automatizzati. E copiando il README della vera fast_log e collegandosi al suo GitHub, gli aggressori hanno sfruttato la fiducia costruita dalla comunità open-source.

L’Anello Debole della Crypto: Sviluppatori nel Mirino

I wallet di criptovalute sono protetti da chiavi private - codici impossibili da indovinare che, se rubati, consegnano il controllo di fortune digitali. Prendendo di mira gli sviluppatori, gli aggressori hanno puntato alla fonte: i costruttori dell’infrastruttura stessa. Sebbene i crates malevoli non avessero dipendenze a valle e siano stati rimossi, gli 8.400 download rivelano una verità inquietante - un solo pacchetto trascurato può mettere a rischio interi progetti e gli asset degli utenti.

Gli esperti di sicurezza ora invitano gli sviluppatori a verificare attentamente i publisher dei pacchetti, esaminare la documentazione e tenere i segreti fuori dal codice sorgente. Mentre il confine tra collaborazione open-source e sfruttamento si fa sempre più sottile, la vigilanza resta l’unico scudo.

Nel bazar digitale del software open-source, la fiducia è la valuta - e, come dimostra questo episodio, è fin troppo facile da falsificare. Mentre le fortune della crypto continuano ad attirare sia innovatori che intrusi, gli sviluppatori devono trattare ogni strumento con cautela. La prossima volta che scegli una libreria, ricorda: a volte, il lupo indossa il README di una pecora.

WIKICROOK

  • Rust crate: Un crate Rust è un pacchetto software riutilizzabile per il linguaggio Rust, distribuito tramite crates.io, che consente una facile condivisione e integrazione del codice.
  • Typosquatting: Il typosquatting è una tecnica in cui gli aggressori usano nomi simili a quelli di siti o software affidabili per indurre gli utenti a visitare siti falsi o scaricare malware.
  • Chiave privata: Una chiave privata è un codice segreto che dà accesso e controllo su asset digitali o wallet di criptovalute; chiunque la possieda può accedere ai fondi.
  • Endpoint di Command and Control (C2): Un endpoint di Command and Control (C2) è un server remoto che gli aggressori usano per inviare comandi a dispositivi compromessi e ricevere dati rubati.
  • Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news