crates.io: 악성 크레이트 finch-rust 및 sha-rust

Source: Rust Blog

요약

2025년 12월 5일, crates.io 팀은 Socket Threat Research Team의 Kush Pandya로부터 기존 finch 크레이트와 혼동을 일으키려는 두 개의 악성 크레이트가 악성 의존성을 추가해 데이터 탈취를 수행하고 있다는 보고를 받았습니다.

관련 크레이트

• finch-rust – 2025년 11월 25일에 1버전이 공개되었으며, 다운로드 수는 28회, sha-rust에 의존
• sha-rust – 2025년 11월 20일에서 11월 25일 사이에 8버전이 공개되었으며, 다운로드 수는 153회

조치 내용

사용자 face-lessssss는 즉시 비활성화되었으며, 해당 크레이트는 곧바로 crates.io에서 삭제되었습니다. 악성 크레이트 파일은 추가 분석을 위해 보관되었습니다.

• 삭제는 12월 5일 15:52 UTC에 수행되었습니다.
• 관련 저장소는 GitHub에 신고되었으며, 해당 계정도 삭제되었습니다.

분석

Socket이 블로그 게시물에서 분석을 공개했습니다.

이 크레이트들은 crates.io에 하위 의존자가 없었으며, 자동 미러링 및 스캔 서비스 외에 다운로드된 증거는 없습니다.

감사

크레이트를 신고해 주신 Socket Threat Research Team의 Kush Pandya에게 감사드립니다. 또한 대응에 도움을 주신 crates.io 팀의 Carol Nichols와 Rust Foundation의 Adam Harvey에게도 감사의 말씀을 전합니다.