摘要：9 月 24 日，crates.io 团队收到来自 Socket 威胁研究团队的基里尔・博伊琴科（Kirill Boychenko）的通知，称有两个恶意 crate 正主动搜索文件内容，以寻找以太坊私钥、索拉纳私钥及任意字节数组，意图实施窃取行为。

Rust官方博客2025年9月24日消息：

9 月 24 日，crates.io 团队收到来自 Socket 威胁研究团队的基里尔・博伊琴科（Kirill Boychenko）的通知，称有两个恶意 crate 正主动搜索文件内容，以寻找以太坊私钥、索拉纳私钥及任意字节数组，意图实施窃取行为。

恶意代码在运行时执行，即当用户运行或测试依赖这些 crate 的项目时会触发；值得注意的是，这些 crate 在构建时不会执行任何恶意代码。除恶意载荷外，这两个 crate 抄袭了合法 crate 的源代码、功能及文档，并使用与合法 crate 相似的名称（属于 “拼写劫持” 行为 ¹）。

已采取的措施

涉事用户账号已立即被封禁，相关恶意 crate 随后不久便从 crates.io 上删除 ²。我们保留了与涉事用户及恶意 crate 文件相关的所有日志副本，以供后续分析。

此次删除操作于 2025 年 9 月 24 日 15:34（UTC 时间）执行。

分析

这两个恶意 crate 均抄袭自某个提供日志功能的合法 crate，且其日志功能在恶意 crate 中仍可正常使用。原合法 crate 具备日志文件打包功能，该功能会遍历相关目录下的文件。

攻击者在日志打包过程中插入了执行恶意操作的代码，从该目录下正处理的日志文件中搜索以下内容：

随后，这些 crate 会将搜索结果窃取并发送至网址 https://mainnet[.]solana-rpc-pool[.]workers[.]dev/。

这两个恶意 crate 在 crates.io 上没有下游依赖 crate。

与这些恶意 crate 相关的攻击者账号未发布过其他 crate，也无其他发布记录，目前团队正基于保留的日志 ³ 积极调查相关关联行为。

使用了这两个crate的朋友抓紧修改软件并通知用户升级！

来源：物联一尘