crates.io：恶意 crates evm-units 和 uniswap-utils

Source: Rust Blog

摘要

2024年12月2日，crates.io 团队收到来自 Socket 威胁研究团队 的 Olivia Brown 的通知，称有两个恶意 crate 正在下载可能用于窃取加密货币的负载。

• evm-units – 2025年4月发布了 13 个版本，下载次数 7,257 次
• uniswap-utils – 2025年4月发布了 14 个版本，下载次数 7,441 次，使用 evm-units 作为依赖

已采取的措施

用户 ablerust 被立即禁用，相关 crate 在随后被从 crates.io 删除。恶意 crate 文件已被保留以供进一步分析。

删除操作于 UTC 时间 12 月 2 日 22:01 完成。

分析

Socket 已在博客文章中发布了他们的分析。

这些 crate 在 crates.io 上没有下游依赖的 crate。

致谢

感谢来自 Socket 威胁研究团队 的 Olivia Brown 报告此事。我们还感谢 crates.io 团队的 Carol Nichols，以及来自 Rust 基金会 的 Walter Pearce 和 Adam Harvey 在响应过程中的帮助。