GHSA-6662-54XR-8423：您 Cargo.toml 中的特洛伊木马：剖析 'evm-units' 供应链攻击

Source: Dev.to

你的 Cargo.toml 中的特洛伊木马：拆解 evm-units 供应链攻击

漏洞编号： GHSA-6662-54XR-8423
CVSS 分数： 10.0
发布时间： 2026-02-06

八个月以来，一个名为 evm-units 的恶意 Rust crate 静静地潜伏在 crates.io 上，伪装成用于以太坊单位转换的无害工具。它利用 Rust 的构建过程，在开发者编译项目的瞬间执行跨平台恶意软件，在 2025 年 12 月被下架前，已危及超过 7,400 个环境。

TL;DR

一个恶意 Rust 包（evm-units）通过编译期间的 build.rs 脚本感染约 7,400 台开发者机器。它针对 Windows、Linux 和 macOS 系统，窃取加密钱包和凭证。

技术细节

• CWE 编号： CWE‑506
• 攻击向量： 供应链 / 拼写相似域名（Typosquatting）
• 严重程度： 严重（恶意软件）
• 下载量： ~7,400
• 攻击组织： Kimwolf
• 平台： 跨平台（Windows、Linux、macOS）

受影响系统

• Rust 开发环境
• 构建 Rust 项目的 CI/CD 流水线
• Web3/区块链开发工作站

evm-units： 所有版本（已在 N/A (Remove) 中修复）

利用细节

由 Socket Research 对 build.rs 执行流程和有效载荷获取的分析。

缓解策略

• 使用 cargo-vet 或 cargo-crev 等工具进行依赖审查。
• 在可能的情况下，阻止构建步骤期间的外部网络连接。
• 在 CI/CD 流水线中使用 cargo-audit 及早捕获已知漏洞。
• 锁定依赖版本并将 Cargo.lock 提交至版本控制。

修复步骤

1. 检查 Cargo.lock 中是否存在 evm-units。
2. 立即将受感染的机器与网络隔离。
3. 轮换所有在环境中泄露的密钥（SSH、AWS、GPG、钱包种子）。
4. 格式化存储驱动器并重新安装操作系统（彻底清除法）。
5. 审计 git 日志，查找受损用户的未授权提交。

参考资料

• GHSA-6662-54XR-8423 Advisory
• Socket 对 evm-units 的分析
• Vx‑Underground 恶意软件样本