Một cặp mã độc Rust đã được phát hiện, giả mạo thư viện fast_log phổ biến.

Các mã độc này thực hiện đánh cắp dữ liệu là khóa riêng tư Solana và Ethereum từ môi trường phát triển của các lập trình viên.

Các gói giả mạo bao gồm chức năng ghi nhật ký (logging) có vẻ hợp pháp để tránh bị phát hiện.

Tuy nhiên, một quy trình ẩn được tích hợp để quét các tệp nguồn tìm khóa ví và tuồn chúng về một máy chủ C2 (command-and-control) được mã hóa cứng.

Hai crate này đã tích lũy tổng cộng 8.424 lượt tải xuống trước khi bị gỡ bỏ khỏi crates.io, gây ra nguy cơ đánh cắp dữ liệu đáng kể.

Phát Hiện và Xác Định Các Gói Mã Độc Rust

Vào ngày 25 tháng 5 năm 2025, các tác nhân đe dọa đã tải lên phiên bản faster_log 1.7.8 và async_println 1.0.1 lên crates.io.

Chúng sao chép README, các liên kết kho lưu trữ và quy ước đặt tên của gói fast_log chính hãng.

Đội ngũ nghiên cứu mối đe dọa của Socket đã xác định hai gói giả mạo này.

Các gói đó là faster_log và async_println, được xuất bản dưới bí danh rustguruman và dumbnbased.

Máy quét AI của Socket đã gắn cờ faster_log là phần mềm độc hại sau khi phát hiện các chỉ số typosquatting và sự hiện diện của mã tuồn dữ liệu.

Thông tin chi tiết về phát hiện này có thể tham khảo từ nguồn tin cậy: Socket Security Blog.

Phản Ứng Nhanh Chóng Từ Crates.io Ngăn Chặn Đánh Cắp Dữ Liệu

Trong vòng vài giờ sau khi Socket báo cáo sự cố, nhóm bảo mật của Crates.io đã có hành động kịp thời.

Họ phối hợp với Rust Security Response WG và Rust Foundation.

Các tệp độc hại đã được lưu giữ để phân tích.

Danh sách các gói đã bị gỡ bỏ để chặn các lượt tải xuống tiếp theo.

Các tài khoản nhà xuất bản rustguruman và dumbnbased đã bị khóa.

Crates.io cũng đã công bố một thông báo chính thức chi tiết về cuộc điều tra và các bước khắc phục của họ, nhằm hạn chế tối đa nguy cơ đánh cắp dữ liệu.

Cơ Chế Khai Thác của Mã Độc Rust Dẫn Đến Đánh Cắp Dữ Liệu

Mặc dù các crate này biên dịch và hoạt động như các thư viện ghi nhật ký cơ bản, chúng chứa một module “packer” độc hại.

Module này thực hiện các hành động sau:

• Tìm kiếm các khóa riêng tư cho ví tiền điện tử Solana và Ethereum trong môi trường của nhà phát triển.
• Tuồn các khóa đã tìm thấy tới một điểm cuối C2 được mã hóa cứng.
• Mô phỏng chức năng ghi nhật ký hợp pháp để che giấu hoạt động độc hại, phục vụ cho mục đích đánh cắp dữ liệu.

Vì các crate độc hại chỉ phụ thuộc vào các thư viện tiêu chuẩn và client HTTP reqwest phổ biến, chúng hoạt động giống hệt nhau trên các hệ điều hành Linux, macOS và Windows.

Chúng có thể chạy cả trong thời gian chạy ứng dụng và trong các quy trình CI/CD (Continuous Integration/Continuous Delivery).

Bằng cách sao chép siêu dữ liệu của fast_log hợp pháp và giữ lại hành vi ghi nhật ký cốt lõi, những kẻ tấn công đã tăng khả năng được các nhà phát triển chấp nhận một cách dễ dàng.

Sự tinh vi này gây ra rủi ro nghiêm trọng về đánh cắp dữ liệu.

Mối Đe Dọa Tấn Công Chuỗi Cung Ứng Qua Typosquatting

Sự cố này làm nổi bật rủi ro ngày càng tăng của các cuộc tấn công chuỗi cung ứng (supply-chain attacks).

Các cuộc tấn công này được thúc đẩy bởi những thay đổi mã tối thiểu và giả mạo tên.

Ngay cả một quy trình độc hại nhỏ ẩn trong một thư viện tưởng chừng vô hại cũng có thể làm tổn hại đến máy trạm của nhà phát triển và môi trường CI/CD.

Đây là một hình thức đánh cắp dữ liệu tinh vi, ảnh hưởng đến an ninh mạng.

IOCs (Indicators of Compromise) Liên Quan Đến Mã Độc Rust

Dựa trên phân tích, các chỉ số thỏa hiệp (IOCs) liên quan đến sự cố này bao gồm:

• Tên crate độc hại:faster_log, async_println
• Phiên bản crate độc hại:faster_log version 1.7.8, async_println version 1.0.1
• Bí danh nhà xuất bản:rustguruman, dumbnbased
• Mục tiêu: Khóa riêng tư Solana và Ethereum
• Phương thức exfiltration: Tuồn về điểm cuối C2 (C2 endpoint) được mã hóa cứng (chi tiết địa chỉ C2 không được công bố công khai trong nội dung gốc).

Hành Động Khẩn Cấp Để Bảo Vệ Hệ Thống Khỏi Đánh Cắp Dữ Liệu

Các tổ chức nên coi đây là một sự cố bảo mật chuỗi cung ứng và thực hiện ngay các hành động sau:

• Kiểm tra môi trường: Rà soát tất cả các dự án Rust và môi trường phát triển (bao gồm CI/CD) để tìm kiếm sự hiện diện của các crate độc hại faster_log và async_println.
• Gỡ bỏ và cách ly: Nếu phát hiện các crate này, hãy gỡ bỏ chúng ngay lập tức và cách ly các hệ thống bị ảnh hưởng để ngăn chặn việc đánh cắp dữ liệu tiếp diễn.
• Thay đổi khóa: Thay đổi tất cả các khóa riêng tư Solana và Ethereum có thể đã bị lộ trong môi trường bị ảnh hưởng.
• Thông báo: Thông báo cho các thành viên trong nhóm về mối đe dọa này và tầm quan trọng của việc xác minh các gói trước khi tích hợp.
• Rà soát Nhật ký: Kiểm tra nhật ký hệ thống và nhật ký mạng để tìm bằng chứng về hoạt động exfiltration hoặc kết nối bất thường tới các C2 không xác định, nhằm phát hiện nỗ lực đánh cắp dữ liệu.

Chiến Lược Phòng Thủ Đa Lớp Chống Lại Gói Giả Mạo và Đánh Cắp Dữ Liệu

Để bảo vệ chống lại các gói giả mạo trong tương lai, các nhóm bảo mật có thể triển khai các giải pháp đa lớp:

• Giải pháp phân tích phụ thuộc: Sử dụng các công cụ tự động để phân tích các phụ thuộc và phát hiện các thư viện đáng ngờ hoặc có dấu hiệu typosquatting.
• Kiểm soát truy cập nghiêm ngặt: Thực thi các chính sách kiểm soát truy cập nghiêm ngặt và nguyên tắc đặc quyền tối thiểu cho các công cụ xây dựng và môi trường CI/CD để hạn chế tác động tiềm tàng của một cuộc tấn công chuỗi cung ứng.
• Vệ sinh bí mật (Secret Hygiene): Triển khai các giải pháp quản lý bí mật an toàn, tránh lưu trữ khóa nhạy cảm trực tiếp trong mã nguồn hoặc môi trường phát triển không được bảo vệ.
• Kiểm tra mã: Thực hiện quy trình đánh giá mã nghiêm ngặt cho tất cả các phụ thuộc mới hoặc cập nhật.
• Giám sát hành vi: Triển khai giám sát hành vi trên các máy trạm của nhà phát triển và môi trường CI/CD để phát hiện các hoạt động bất thường, bao gồm nỗ lực đánh cắp dữ liệu.

Khi các hệ sinh thái phát triển, những kẻ tấn công sẽ tinh chỉnh các kỹ thuật của chúng.

Chúng có thể nhúng logic độc hại vào các tập lệnh xây dựng hoặc macro, xoay vòng các điểm cuối C2 và tận dụng định vị địa lý (geofencing) để trộn lẫn việc exfiltration với lưu lượng RPC bình thường.

Sự cảnh giác, vệ sinh bí mật nghiêm ngặt và phòng thủ đa lớp vẫn là những yếu tố thiết yếu để bảo mật các chuỗi cung ứng phát triển hiện đại và ngăn chặn đánh cắp dữ liệu nhạy cảm, góp phần củng cố an ninh mạng toàn diện.