Paket Rust Berbahaya di Crates.io Curi Kunci Dompet Kripto
Dua paket berbahaya ditemukan di Crates.io, repositori resmi Rust, setelah dilaporkan mencoba mencuri private key dompet kripto dan rahasia sensitif lainnya dari sistem pengembang. Paket tersebut—faster_log dan async_println—telah diunduh hampir 8.500 kali sejak dipublikasikan pada 25 Mei 2025.
Menyamar sebagai Proyek Asli
Menurut laporan perusahaan keamanan kode Socket, kedua paket ini meniru crate sah fast_log, dengan menyalin file README, metadata repositori, hingga mempertahankan fungsi logging asli. Tujuannya agar tidak menimbulkan kecurigaan.
Namun, fungsi tambahan tersembunyi memanfaatkan fitur log file packing untuk melakukan pemindaian sistem pengembang. Payload berbahaya yang dieksekusi saat runtime mencari:
- String hex menyerupai private key Ethereum
- String Base58 mirip kunci atau alamat Solana
- Array byte bertanda kurung yang bisa menyembunyikan seed atau key
Jika menemukan kecocokan, data tersebut dikumpulkan beserta path file dan nomor baris, lalu dikirim ke Cloudflare Worker URL hardcoded:mainnet[.]solana-rpc-pool[.]workers[.]dev
Socket menegaskan endpoint tersebut aktif menerima POST request saat pengujian, namun bukan endpoint resmi Solana RPC.
Tindakan Crates.io
Crates.io telah menghapus kedua paket tersebut pada 24 September 2025 dan menangguhkan akun penerbit bernama “rustguruman” dan “dumbnbased”. Untungnya, tidak ada crate lain yang bergantung pada paket berbahaya ini, sehingga dampak lanjutan dapat dicegah.
Imbauan untuk Pengembang
Pengembang yang sempat mengunduh salah satu paket disarankan segera:
- Membersihkan sistem dari potensi payload berbahaya
- Memindahkan aset digital ke dompet baru untuk mencegah pencurian
Ke depan, pengembang Rust diimbau selalu memverifikasi reputasi penerbit sebelum mengunduh crate, serta meninjau instruksi build agar tidak otomatis mengambil paket berbahaya.
Sumber: BleepingComputer
