Rust

Pesquisadores de cibersegurança identificaram um pacote Rust malicioso, denominado ’evm-units’, que visa sistemas operacionais Windows, macOS e Linux. O pacote foi disponibilizado no repositório crates.io em abril de 2025 e, em oito meses, acumulou mais de 7.000 downloads. Ele se disfarça como uma ferramenta auxiliar da Ethereum Virtual Machine (EVM) e possui funcionalidades maliciosas que permitem a execução silenciosa em máquinas de desenvolvedores. O pacote verifica a presença do processo ‘qhsafetray.exe’, associado ao antivírus Qihoo 360, e, dependendo do sistema operacional, baixa e executa um payload em segundo plano. No Linux, um script é salvo em /tmp/init; no macOS, um arquivo chamado init é executado; e no Windows, um script PowerShell é criado. A detecção do antivírus altera o fluxo de execução, permitindo que o código malicioso seja executado sem que o usuário perceba. Este incidente destaca a crescente preocupação com a segurança na cadeia de suprimentos de software, especialmente em um contexto onde o mercado de criptomoedas é alvo frequente de ataques.

O Google anunciou que a adoção da linguagem de programação Rust no Android resultou em uma queda significativa nas vulnerabilidades de segurança relacionadas à memória, que agora representam menos de 20% do total. Jeff Vander Stoep, do Google, destacou que a transição para Rust trouxe uma redução de 1000 vezes na densidade de vulnerabilidades de segurança de memória em comparação ao código em C e C++. Além disso, as mudanças em Rust têm uma taxa de reversão quatro vezes menor e demandam 25% menos tempo em revisão de código, tornando o desenvolvimento não apenas mais seguro, mas também mais ágil. Desde 2019, o número de vulnerabilidades de segurança de memória caiu de 223 para menos de 50 em 2024. O Google planeja expandir o uso de Rust em outras partes do ecossistema Android, como no kernel e em aplicativos críticos. Apesar dos avanços, a empresa enfatiza a importância de uma abordagem de defesa em profundidade, ressaltando que as características de segurança da linguagem são apenas uma parte de uma estratégia abrangente. Um exemplo de vulnerabilidade descoberta foi a CVE-2025-48530, que poderia ter permitido execução remota de código, mas foi corrigida antes de ser divulgada publicamente.

Uma vulnerabilidade crítica, conhecida como TARmageddon (CVE-2025-62518), foi descoberta na biblioteca async-tar do Rust e em seus forks, como o tokio-tar. Com uma classificação de severidade de 8.1 (alta), essa falha permite que atacantes executem código remotamente ao sobrescrever arquivos de configuração e sequestrar backends de construção através de arquivos TAR aninhados cuidadosamente elaborados. A equipe de segurança Edera identificou que a vulnerabilidade afeta projetos importantes nos ecossistemas Python e de desenvolvimento web, incluindo o gerenciador de pacotes uv da Astral e o testcontainers. O tokio-tar, que já acumulou mais de 5 milhões de downloads, representa um grande risco para seus usuários, especialmente porque parece estar descontinuado e não recebe mais manutenção. A falha se origina de um erro de desincronização na forma como o parser lida com arquivos TAR aninhados, permitindo que um atacante crie um arquivo TAR que contenha arquivos legítimos na camada externa e cargas maliciosas ocultas na interna. A Edera lançou patches que priorizam cabeçalhos PAX sobre cabeçalhos ustar e recomendou que os desenvolvedores atualizem para versões corrigidas. Para organizações que não podem aplicar patches imediatamente, alternativas incluem a migração para a crate tar padrão ou a implementação de mitigação em tempo de execução.

Um novo malware baseado em Rust, chamado ChaosBot, foi descoberto utilizando a plataforma Discord para suas operações de Comando e Controle (C2). Diferente de botnets tradicionais, o ChaosBot oculta suas atividades maliciosas atrás do tráfego legítimo do Discord, criando canais de comunicação encobertos entre máquinas infectadas e atacantes. O malware valida seu acesso através da API do Discord, criando um canal privado que serve como um shell interativo, onde comandos como ‘shell’, ‘download’ e ‘scr’ (screenshot) podem ser executados. A infecção inicial ocorre por meio de credenciais comprometidas de VPN e Active Directory ou por e-mails de phishing disfarçados. O ChaosBot apresenta mecanismos avançados de evasão, como a desativação de rastreamento de eventos do Windows e a detecção de ambientes virtualizados, dificultando a identificação por ferramentas de segurança. A comunicação com a infraestrutura controlada pelos atacantes é realizada através de ferramentas legítimas, como o Fast Reverse Proxy (FRP) e o Visual Studio Code Tunnels, o que aumenta sua furtividade. Especialistas alertam que o uso de plataformas confiáveis para operações maliciosas representa uma tendência crescente entre famílias de malware em Rust, e recomendam que as organizações implementem autenticação multifator (MFA) e monitorem o tráfego da API do Discord.

Pesquisadores em cibersegurança identificaram uma vulnerabilidade de alta severidade na biblioteca async-tar, utilizada em diversos projetos populares, como testcontainers e wasmCloud. A falha, classificada como CVE-2025-62518 e com um escore CVSS de 8.1, pode permitir a execução remota de código (RCE) através de ataques de sobrescrita de arquivos. O problema é agravado pelo fato de que a biblioteca tokio-tar, que depende do async-tar, não recebe atualizações desde julho de 2023, tornando-a essencialmente abandonada. Para mitigar os riscos, os usuários são aconselhados a migrar para a versão 0.5.6 da biblioteca astral-tokio-tar, que corrige a vulnerabilidade. A falha decorre de uma inconsistência no tratamento de cabeçalhos PAX e ustar, permitindo que atacantes ’escondam’ arquivos maliciosos dentro de arquivos TAR legítimos. Essa vulnerabilidade é um lembrete de que, apesar das garantias de segurança do Rust, falhas lógicas ainda podem ocorrer e devem ser monitoradas de perto pelos desenvolvedores.

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.