Peretas melancarkan serangan rantai pasokan (supply chain attack) yang cukup canggih, menargetkan pengembang cryptocurrency lewat Rust crates berbahaya yang dirancang untuk mencuri private key dompet digital.
Baca Juga : Cara Melihat File PDF Mengandung Virus atau Tidak dengan Mudah
Dua paket palsu—faster_log dan async_println—masuk ke registri paket Rust dengan menyamar sebagai library logging asli fast_log. Mereka menyisipkan kode berbahaya yang memindai berkas sumber untuk menemukan private key Solana dan Ethereum, lalu mengirimkannya ke server yang dikontrol penyerang.
Crate berbahaya ini dipublikasikan pada 25 Mei 2025 dengan alias rustguruman dan dumbnbased, dan berhasil mengumpulkan total 8.424 unduhan sebelum akhirnya terdeteksi. Untuk mengelabui pemeriksaan, paket-paket tersebut tetap mempertahankan fungsi logging agar terlihat normal, sementara secara diam-diam mengambil kredensial cryptocurrency dari kode sumber dan berkas proyek pengembang.
Pelaku menggunakan teknik typosquatting, menyalin README serta metadata repositori fast_log asli sehingga impostor ini tampak meyakinkan pada pemeriksaan sekilas. Analis dari Socket.dev menemukan paket-paket jahat ini saat melakukan pemantauan ancaman rutin, dan mengungkap mekanisme pencurian kredensial yang cukup terstruktur.
Mereka menemukan kedua crate menerapkan alur eksfiltrasi identik: memindai tiga pola spesifik — private key Ethereum yang diformat sebagai string heksadesimal 64 karakter dengan prefix 0x, alamat dan kunci Solana yang dikodekan Base58 dengan panjang 32–44 karakter, serta array byte berbentuk kurung siku yang bisa memuat materi kunci terenkripsi.
Saat menemukan pola yang cocok, malware langsung mengirim kredensial yang dicuri ke endpoint command-and-control (C2) yang telah di-hardcode, yaitu mainnet.solana-rpc-pool.workers.dev, yang disamarkan sedemikian rupa agar terlihat seperti infrastruktur RPC Solana yang sah.
Vektor serangan ini mengeksploitasi tingkat kepercayaan pengembang terhadap repositori paket, menunjukkan bahwa sedikit modifikasi kode saja bisa menimbulkan risiko keamanan besar.
Pendekatan penyerang adalah mempertahankan fungsi logging asli sambil menyelipkan rutin pengumpulan kredensial. Dengan begitu, paket tetap berfungsi saat fase pengujian dan integrasi sehingga kode berbahaya bisa berjalan tidak terdeteksi di lingkungan pengembangan dan pipeline integrasi berkelanjutan.
Implementasi Teknis & Mekanisme Eksfiltrasi
Fungsi inti malware berupa mesin pemindai (scanning engine) yang ditulis dalam Rust dan memproses direktori proyek secara rekursif. Kode berbahaya memanfaatkan regular expressions untuk mengidentifikasi rahasia terkait cryptocurrency yang tertanam di berkas sumber, fokus pada pola yang umum dipakai pengembang blockchain.
Contoh potongan kode yang ditemukan:
const HARDCODED_ENDPOINT: &str = “https://mainnet.solana-rpc-pool.workers.dev/”;
pub struct FoundItem {
pub item_type: String,
pub value: String,
pub file_path: String,
pub line_number: usize,
}
Implementasinya memakai tiga regex target. Pertama menargetkan private key Ethereum dengan pola "0x[0-9a-fA-F]{64}" untuk menangkap string heksadesimal 64 karakter berawalan 0x. Kedua, regex "[1-9A-HJ-NP-Za-km-z]{32,44}" mendeteksi string Base58 khas alamat dan kunci publik Solana sesuai batas panjang kriptografinya. Ketiga, pola menangkap array byte berkurung siku seperti [0x12, 0xAB, ...] atau [1,2,...] yang bisa memuat byte kunci mentah atau seed phrase yang tersisip.
Saat fungsi pemindaian menemukan kecocokan, malware menyusun catatan forensik terperinci — meliputi jalur berkas, nomor baris, nilai yang cocok, dan tipe pola. Pelacakan lokasi yang presisi ini mengindikasikan kemungkinan pelaku berniat melakukan operasi lanjutan atau menjual intelijen tersebut ke pembeli kredensial curian.
Penemuan-penemuan ini dikemas ke dalam payload JSON dan dikirim lewat permintaan HTTP POST ke infrastruktur C2 penyerang, memakai enkripsi HTTPS standar untuk menyamarkan lalu lintas. Eksfiltrasi dilakukan melalui klien Rust reqwest yang mengirim data terstruktur ke endpoint yang dihosting di Cloudflare Workers — pilihan hosting yang memberi penyerang anonimitas, skalabilitas, dan kemampuan mengubah infrastruktur pengumpulan dengan cepat tanpa perlu server sendiri.
Baca Juga : Browser Chromium di Windows Rentan Disusupi Hacker Lewat Ekstensi
Yang mengkhawatirkan, crate berbahaya memproses berkas saat runtime aplikasi, bukan saat kompilasi, sehingga pemindaian terjadi di lingkungan kerja aktif pengembang—di mana kredensial cryptocurrency kemungkinan besar tersimpan dan paling mudah diakses.
