Zwei neu entdeckte, schadhafte Rust-Pakete auf Crates.io – faster_log und async_println – haben zusammen rund 8.500 Downloads verzeichnet und zielten darauf ab, Entwicklerumgebungen und Quellcode nach privaten Kryptowährungsschlüsseln und anderen Secrets zu durchsuchen. Laut den Analysen von Socket wurden die Crates am 25. Mai 2025 veröffentlicht und inzwischen von der Plattform entfernt.
Supply-Chain-Angriff auf Crates.io: Eckdaten und Ablauf
Crates.io ist das zentrale Paket-Ökosystem für Rust – vergleichbar mit npm, PyPI oder RubyGems – und damit ein attraktives Ziel für Angreifer. Die Downloads verteilen sich auf etwa 7.200 für faster_log und 1.200 für async_println. Die Einschleusung in vertraute Update- und Build-Prozesse ist typisch für Software-Lieferkettenangriffe, da Entwickler legitime Funktionalität erwarten und Abhängigkeiten häufig automatisiert beziehen.
Kontensperren und Entfernung der Pakete
Die Crates.io-Administration sperrte am 24. September die Konten rustguruman und dumbnbased, die die fraglichen Crates publiziert hatten. Nach Plattformangaben existierten keine Downstream-Abhängigkeiten zu diesen Paketen, und die betroffenen Konten verwalteten keine weiteren Projekte. Gleichwohl sollten Teams, die die Crates integriert oder gebaut haben, ihre Umgebungen umgehend auditieren.
Verschleierung: Nachbau eines legitimen Pakets
Die Angreifer tarnten faster_log glaubwürdig als Alternative zum legitimen fast_log. README, Metadaten und Basisschnittstellen wurden übernommen, sodass eine erste Funktionsprüfung unauffällig blieb. Der bösartige Code aktivierte sich während der Laufzeit von Anwendungen, die die Abhängigkeit einbanden, und blieb damit bei oberflächlichen Checks häufig unter dem Radar.
Exfiltration über Cloudflare Workers: IoCs und Technik
Der Payload scannte Datei- und Umgebungsvariablen nach Privatkeys, Zugriffstoken und weiteren Secrets. Treffer wurden mit Kontext (Dateipfade, Zeilennummern) gebündelt und per HTTP-POST an einen hart kodierten Cloudflare-Workers-Endpunkt gesendet: mainnet[.]solana-rpc-pool[.]workers[.]dev. Ermittlungen zeigen, dass es sich nicht um einen offiziellen Solana-RPC-Knoten handelt – ein klares Indiz für eine Angreifer-Infrastruktur.
Risiken für Rust-Projekte: warum 8.500 Downloads relevant sind
Auch ohne Downstream-Propagation ist die Zahl der Installationen sicherheitsrelevant: Bereits ein Build oder Lauf mit einer kompromittierten Abhängigkeit kann Secrets von Entwickler-Workstations oder CI/CD-Runnern abfließen lassen. Das Muster reiht sich ein in bekannte Supply-Chain-Vorfälle anderer Ökosysteme (z. B. Typosquatting in PyPI oder npm). Branchenberichte wie Sonatype’s „State of the Software Supply Chain“ und die OSV-Datenbank unterstreichen die anhaltende Bedrohung durch manipulierte Pakete und die Notwendigkeit systematischer Governance.
Sofortmaßnahmen für potenziell Betroffene
- Entfernen und Neuaufsetzen: Crates faster_log und async_println aus allen Projekten löschen, Cargo.lock neu generieren und Build-Umgebungen sauber neu aufsetzen.
- Secrets rotieren: Private Keys, API-Tokens und Wallets erneuern; betroffene Krypto-Assets zeitnah auf neue Wallets transferieren.
- Forensik und Bereinigung: Repositories, Build-Artefakte sowie CI/CD-Caches auf Secret-Leaks prüfen; Logs säubern und sensible Variablen neu ausgeben.
- Netzwerk-Indikatoren blockieren: Ausgehenden Traffic zum genannten workers.dev-Endpoint sperren und Proxy-/Firewall-Logs prüfen.
Prozess- und Tooling-Empfehlungen für die Rust-Lieferkette
- Publisher-Vertrauen prüfen: Maintainer-Historie, Commit-Chronik und Übereinstimmung zwischen Quelltext und veröffentlichtem Artefakt validieren.
- Abhängigkeiten pinnen und verifizieren: Lockfiles konsequent nutzen; Tools wie cargo audit, cargo-crev und cargo-vet einsetzen; Policy- und Blocklisten etablieren.
- Builds härten: Reproduzierbare, isolierte Builds (z. B. in hermetischen Containern) und eingeschränkten Egress im CI/CD erzwingen.
- Secret-Hygiene: Secrets in Secret-Managern verwalten, Scans vor dem Commit (Pre-Commit-Hooks) aktivieren und Logging von Secrets verhindern.
Dieser Vorfall zeigt, dass „Vertrauen, aber verifizieren“ in der Paketökonomie Pflicht ist. Wer Abhängigkeiten prüft, Builds isoliert und Secrets systematisch schützt, reduziert das Risiko von Datenabfluss und Folgeschäden signifikant. Führen Sie jetzt Audits durch, aktualisieren Sie Ihre Lieferkettenkontrollen und bleiben Sie bei neuen Paketveröffentlichungen besonders wachsam.