Descubren paquete malicioso en Rust que afecta Windows, macOS y Linux haciéndose pasar por herramienta EVM

Introducción

En un nuevo episodio de amenazas dirigidas al ecosistema de desarrollo, investigadores de ciberseguridad han identificado un paquete malicioso en Rust denominado “evm-units”. Este paquete, publicado en crates.io en abril de 2025 bajo el alias “ablerust”, ha sido diseñado para distribuir malware multiplataforma, apuntando específicamente a desarrolladores y entornos de integración continua (CI) que operan sobre sistemas Windows, macOS y Linux. El ataque aprovecha la popularidad del desarrollo blockchain, disfrazándose de utilitario legítimo para la Ethereum Virtual Machine (EVM), lo que incrementa su probabilidad de ser incorporado inadvertidamente en proyectos de software.

Contexto del Incidente

El caso de “evm-units” es un claro ejemplo de ataques a la cadena de suministro de software, una táctica cada vez más frecuente en los últimos años, especialmente en ecosistemas de paquetes abiertos como npm, PyPI o crates.io. De acuerdo con los investigadores, el paquete fue subido a mediados de abril de 2025 y permaneció disponible durante varios días antes de ser detectado y retirado. El objetivo era claro: comprometer entornos de desarrollo mediante la ejecución de código malicioso de forma sigilosa, incrementando el alcance potencial del ataque a través de la naturaleza multiplataforma de Rust.

Detalles Técnicos

El paquete “evm-units” contenía código ofuscado que desplegaba cargas maliciosas adaptadas al sistema operativo de la víctima. Tras analizar su comportamiento, se ha identificado que emplea técnicas de ejecución encubierta para evadir la detección, incluyendo la modificación de scripts de build y la inyección de payloads en los procesos de construcción del código.

– **CVE asociado:** Aunque al cierre de este artículo aún no se ha asignado un identificador CVE específico, la situación está bajo revisión en los principales repositorios de vulnerabilidades.
– **Vectores de ataque:** El vector primario es la descarga e instalación del paquete desde crates.io, ya sea manualmente o como dependencia transitiva en proyectos de desarrollo relacionados con Ethereum o blockchain.
– **Técnicas MITRE ATT&CK relevantes:**
– T1059 (Command and Scripting Interpreter): Ejecución de comandos arbitrarios en el sistema.
– T1204 (User Execution): Explotación mediante la ejecución por el usuario (en este caso, el desarrollador).
– T1195 (Supply Chain Compromise): Compromiso de la cadena de suministro de software.
– **Indicadores de Compromiso (IoC):**
– Hashes de binarios maliciosos presentes en el paquete.
– Conexiones salientes a dominios controlados por los atacantes.
– Modificaciones inesperadas en scripts de build y archivos de proyecto.
– **Herramientas utilizadas:** No se han identificado frameworks de explotación conocidos como Metasploit o Cobalt Strike, pero el payload estaba empaquetado en binarios Rust compilados ad hoc.

Impacto y Riesgos

El alcance del incidente es potencialmente elevado, dada la popularidad de Rust en proyectos de alto perfil y la naturaleza recursiva de las dependencias en el desarrollo moderno. Según los datos de crates.io, el paquete fue descargado más de 1.500 veces antes de su retirada, lo que podría traducirse en una superficie de ataque significativa, especialmente en proyectos de código abierto y pipelines de integración continua.

– **Impacto técnico:** Ejecución remota de código, robo de credenciales de desarrolladores, exfiltración de secretos de proyectos, y posibilidad de escalar privilegios en sistemas comprometidos.
– **Riesgos legales y regulatorios:** Las empresas afectadas podrían incurrir en sanciones bajo el RGPD (Reglamento General de Protección de Datos) o la directiva NIS2 si se demuestra impacto en datos personales o servicios esenciales.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de ataques en la cadena de suministro, se recomienda a los responsables de seguridad y equipos DevSecOps:

1. **Auditoría de dependencias:** Revisar y auditar todas las dependencias, especialmente aquellas añadidas recientemente, y eliminar “evm-units” de los proyectos afectados.
2. **Análisis de integridad:** Utilizar herramientas de análisis estático y dinámico para detectar modificaciones no autorizadas en los scripts y binarios del entorno de desarrollo.
3. **Monitorización de IoC:** Implementar reglas de detección en los SIEM para identificar los indicadores de compromiso asociados.
4. **Actualización de sistemas y herramientas:** Mantener entornos de desarrollo y CI actualizados y aislados.
5. **Formación del personal:** Sensibilizar a los desarrolladores sobre los riesgos de la cadena de suministro y buenas prácticas en la gestión de dependencias.

Opinión de Expertos

Expertos del sector coinciden en señalar que este incidente pone de manifiesto la fragilidad de los ecosistemas de software abierto. “La confianza ciega en los paquetes de terceros es un vector de riesgo crítico que requiere controles más estrictos y automatizados”, afirma Marta Jiménez, CISO de una firma tecnológica europea. Por su parte, analistas de amenazas destacan la rápida evolución de los actores maliciosos en el targeting específico a entornos DevOps, aprovechando la falta de supervisión en la integración de dependencias.

Implicaciones para Empresas y Usuarios

Para las organizaciones, el incidente subraya la necesidad de fortalecer la gobernanza sobre el ciclo de vida del software. La ausencia de controles puede derivar en la proliferación de amenazas que comprometan tanto la propiedad intelectual como la privacidad de clientes y usuarios finales. La integración de políticas de seguridad en el desarrollo (DevSecOps) y la adopción de frameworks como SLSA (Supply-chain Levels for Software Artifacts) se presentan como tendencias ineludibles.

Conclusiones

El descubrimiento de “evm-units” evidencia una vez más la sofisticación y persistencia de los ataques a la cadena de suministro de software. Los profesionales de ciberseguridad deben extremar la vigilancia sobre los repositorios públicos y promover una cultura de “zero trust” en la gestión de dependencias. La colaboración entre comunidades, plataformas de paquetes y equipos de seguridad será clave para mitigar este tipo de amenazas en el futuro inmediato.

(Fuente: feeds.feedburner.com)