### Descubiertas dos librerías Rust maliciosas que roban claves de monederos Solana y Ethereum

#### Introducción

La seguridad en la cadena de suministro de software vuelve a estar en el punto de mira tras la detección de dos paquetes Rust maliciosos en crates.io, el repositorio oficial de la comunidad. Estas librerías, diseñadas para suplantar a un paquete legítimo, han comprometido el desarrollo de aplicaciones con el objetivo específico de robar claves privadas de monederos de criptomonedas Solana y Ethereum. El caso pone de relieve la creciente sofisticación de los ataques dirigidos a entornos de desarrollo y la importancia de la vigilancia continua sobre las dependencias de código abierto.

#### Contexto del Incidente

El incidente se remonta al 25 de mayo de 2025, cuando investigadores en ciberseguridad identificaron dos crates sospechosos: `faster_log` y `async_println`. Ambos paquetes estaban diseñados para imitar a la popular librería legítima `fast_log`, utilizada habitualmente para la gestión de logs en aplicaciones escritas en Rust. El objetivo era engañar a desarrolladores para que los incluyeran en sus proyectos de forma inadvertida, abriendo así la puerta a la exfiltración de datos sensibles presentes en el código fuente, concretamente las claves privadas de monederos de criptomonedas.

Los paquetes fueron publicados por actores maliciosos bajo los alias `rustguruman` y `dumbnbased`. A pesar de su breve estancia en la plataforma, lograron alcanzar un total de 8.424 descargas, lo que indica una distribución significativa y potencialmente una afectación considerable en proyectos dependientes de Rust.

#### Detalles Técnicos

La amenaza se caracteriza por la suplantación de una librería legítima, una táctica conocida como typosquatting, ampliamente documentada en frameworks como MITRE ATT&CK (T1195.002: Supply Chain Compromise). Los paquetes maliciosos incluían código ofuscado que, al ser ejecutado, escaneaba el árbol de directorios en busca de patrones coincidentes con claves privadas de monederos Solana y Ethereum. Posteriormente, estos datos eran exfiltrados a servidores remotos bajo el control de los atacantes mediante conexiones HTTPS cifradas.

Aunque todavía no se ha asignado un CVE específico a estos paquetes, la técnica de ataque es similar a incidentes previos en otros ecosistemas como npm o PyPI. No se han detectado exploits públicos integrados en frameworks como Metasploit o Cobalt Strike, pero la sencillez del vector de ataque y el uso de técnicas de obfuscación dificultan la detección mediante soluciones EDR convencionales.

Los principales Indicadores de Compromiso (IoC) incluyen la presencia de los paquetes `faster_log` y `async_println` en el archivo `Cargo.toml` de proyectos Rust y conexiones salientes anómalas a dominios recientemente registrados, monitorizados por sistemas de threat intelligence.

#### Impacto y Riesgos

El impacto potencial de este incidente es elevado, especialmente para desarrolladores y organizaciones que gestionan activos en blockchain. La exfiltración de claves privadas puede resultar en la pérdida inmediata e irreversible de fondos en Solana y Ethereum, dada la naturaleza descentralizada y pseudónima de estas redes. Dado el volumen de descargas, se estima que cientos de proyectos podrían haber estado expuestos, incluyendo aplicaciones críticas para fintech, exchanges y plataformas DeFi.

El riesgo reputacional para las organizaciones afectadas se suma a la posible violación de regulaciones como el Reglamento General de Protección de Datos (GDPR) en caso de que se vean comprometidos datos personales, así como la Directiva NIS2 para infraestructuras críticas en la UE.

#### Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos DevSecOps y responsables de la cadena de suministro de software realizar un análisis exhaustivo de dependencias, especialmente de aquellas añadidas o actualizadas recientemente. Es imprescindible auditar los archivos `Cargo.toml` y eliminar inmediatamente cualquier referencia a los paquetes `faster_log` y `async_println`.

Adicionalmente, se aconseja:

– Implementar controles de seguridad de la cadena de suministro (SCA) y monitorización continua de dependencias.
– Utilizar herramientas de escaneo de código fuente en busca de patrones de exfiltración o conexiones salientes sospechosas.
– Mantenerse actualizado respecto a las alertas y advisories de la comunidad Rust y plataformas de threat intelligence.
– Establecer procedimientos de rotación y revocación de claves privadas potencialmente expuestas.

#### Opinión de Expertos

Especialistas en ciberseguridad del sector, como responsables de equipos SOC y analistas de amenazas, coinciden en que este incidente ejemplifica la urgencia de reforzar la vigilancia sobre dependencias de código abierto. “La proliferación de ataques de typosquatting en ecosistemas como Rust subraya la necesidad de controles automáticos en los repositorios oficiales y de una mayor capacitación de los desarrolladores”, declara Marta Gutiérrez, CISO de una entidad financiera europea.

#### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente pone en jaque la integridad de los procesos CI/CD y la seguridad de los activos digitales. Los usuarios finales, especialmente aquellos que operan con criptomonedas, se ven expuestos a pérdidas económicas irreversibles. Las tendencias de mercado apuntan a un incremento del 40% anual en ataques a la cadena de suministro, y se espera que la nueva normativa NIS2 exija a las organizaciones una trazabilidad y control mucho más estrictos sobre sus dependencias de software.

#### Conclusiones

El descubrimiento de los paquetes `faster_log` y `async_println` refuerza la necesidad de una estrategia de seguridad integral en la gestión de dependencias de software. La vigilancia proactiva, la formación y el empleo de herramientas avanzadas de análisis de amenazas son esenciales para prevenir incidentes de gran impacto en la economía digital y el ecosistema blockchain.

(Fuente: feeds.feedburner.com)