В Rust-репозитории crates.io выявлены четыре вредоносных пакета

Пакет evm-units включал код для загрузки вредоносных компонентов, нацеленных на кражу криптовалюты. Вредоносный пакет был размещён в апреле 2025 года и был загружен 7257 раз. Пакет uniswap-utils также был загружен в апреле, был загружен 7441 раз и использовал evm-units в качестве зависимости. Вредоносный код активировался при вызове функции get_evm_version () и приводил к загрузке внешнего кода по ссылке «https://download[.]videotalks[.]xyz/gui/6dad3/…». В Linux и macOS загружался и запускался скрипт init, а в Windows — init.ps1.

Пакет sha-rust был размещён в каталоге 20 ноября, был загружен 153 раза и содержал код для поиска и отправки на внешний сервер конфиденциальных данных. Пакет finch-rust включал оригинальный код из пакета finch, в который был добавлен вызов функции «sha_rust: from_str ()», при выполнении которой выполнялся обфусцированный обработчик, отправляющий на сервер «https://rust-docs-build[.]vercel[.]app/api/v1» информацию о системе, переменные окружения, а также содержимое config.toml, id.json и файлов с расширением ».env» (например, production.env, staging.env и dev.env с токенами доступа).

25 ноября в crates.io также был размещён пакет finch-rust, использующий sha-rust в качестве зависимости и созданный для тайпсквоттинг-атаки на пользователей легитимного пакета finch, рассчитывая, что пользователь не обратит внимание на отличие в названии, найдя пакет через поиск или выбрав из списка.

https://blog.rust-lang.org/2025/12/05/crates.io-malicious-crates-finch-rust-and-sha-rust/

https://blog.rust-lang.org/2025/12/03/crates.io-malicious-crates-evm-units-and-uniswap-utils/

https://socket.dev/blog/malicious-rust-crate-evm-units-serves-cross-platform-payloads

https://socket.dev/blog/malicious-crate-mimicking-finch-exfiltrates-credentials

https://crates.io/crates/finch

Собственно это то, о чем на ЛОРе периодически и говорится: проблемы безопасности кроются не только в утечках памяти.