恶意 Rust 组件伪装时间工具窃取密钥
网络安全研究人员发现五个伪装成时间相关工具的恶意 Rust 组件(crate),这些组件会将 .env 文件数据传输给攻击者。这些通过 crates.io 发布的 Rust 软件包包括:
- chrono_anchor
- dnp3times
- time_calibrator
- time_calibrators
- time-sync
据 Socket 分析,这些组件伪装成 timeapi.io 服务,于 2026 年 2 月下旬至 3 月上旬发布。由于使用了相同的数据外泄方法和相似的域名("timeapis[.]io")存储窃取的数据,研究人员判断这些攻击出自同一威胁行为者之手。
"虽然这些组件伪装成本地时间工具,但其核心行为是窃取凭证和密钥,"安全研究员 Kirill Boychenko 表示,"它们试图从开发者环境中收集敏感数据(特别是 .env 文件),并将其外泄至攻击者控制的基础设施。"
在上述五个软件包中,有四个仅具备基础的 .env 文件外泄功能,而 "chrono_anchor" 则更进一步,通过实施混淆和操作变更来规避检测。这些组件被宣传为无需依赖网络时间协议(NTP)即可校准本地时间的工具。
"chrono_anchor" 将外泄逻辑隐藏在名为 "guard.rs" 的文件中,该文件通过 "optional sync" 辅助函数调用,以避免引起开发者怀疑。与其他恶意软件不同,该代码并不试图通过服务或计划任务在主机上建立持久性,而是在持续集成(CI)工作流的开发者每次调用恶意代码时,重复尝试外泄 .env 文件中的密钥。
攻击者针对 .env 文件并非偶然,因为这类文件通常包含 API 密钥、令牌和其他敏感信息,可使攻击者危害下游用户,并深入访问其环境(包括云服务、数据库、GitHub 和注册表令牌)。
虽然这些软件包已从 crates.io 下架,但可能误下载的用户应假设密钥已遭泄露,建议立即轮换密钥和令牌,审核使用发布或部署凭证运行的 CI/CD 任务,并尽可能限制出站网络访问。
"此次攻击活动表明,低复杂度的供应链恶意软件在开发者工作区和 CI 任务中运行时仍能造成重大影响,"Socket 强调,"应优先实施控制措施,在恶意依赖项执行前将其阻止。"
AI 驱动的机器人利用 GitHub Actions
此次披露之前,研究人员还发现了一场针对主要开源仓库 CI/CD 管道的自动化攻击活动。一个名为 hackerbot-claw 的 AI 驱动机器人扫描公共仓库,寻找可利用的 GitHub Actions 工作流以窃取开发者密钥。
2026 年 2 月 21 日至 28 日期间,这个自称"自主安全研究代理"的 GitHub 账户瞄准了至少七个仓库,包括微软、Datadog 和 Aqua Security 等企业的项目。
攻击流程如下:
- 扫描公共仓库寻找配置错误的 CI/CD 管道
- 分叉目标仓库并准备恶意负载
- 提交包含拼写修复等微小变更的拉取请求,同时将主要负载隐藏在分支名称、文件名或 CI 脚本中
- 利用工作流在每个拉取请求上自动激活的特性触发 CI 管道,导致恶意代码在构建服务器上执行
- 窃取密钥和访问令牌
此次攻击的最高调目标是 Aqua Security 的热门安全扫描器仓库 "aquasecurity/trivy",该工具用于检测已知漏洞、错误配置和密钥。
"hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌(PAT),"供应链安全公司 StepSecurity 表示,"失窃的凭证随后被用于接管仓库。"
Aqua Security 的 Itay Shakury 在上周发布的声明中透露,攻击者利用 GitHub Actions 工作流向 Open VSX 注册表推送了 Trivy 的 Visual Studio Code(VS Code)扩展的恶意版本,通过本地 AI 编码代理收集并外泄敏感信息。
同样调查了此次扩展入侵事件的 Socket 表示,1.8.12 和 1.8.13 版本中注入的逻辑会以高权限模式执行本地 AI 编码助手(包括 Claude、Codex、Gemini、GitHub Copilot CLI 和 Kiro CLI),指示它们执行广泛的系统检查、生成发现信息的报告,并使用受害者经过身份验证的 GitHub CLI 会话将结果保存到名为 "posture-report-trivy" 的 GitHub 仓库中。
Aqua 已从市场移除相关构件并撤销发布令牌。建议安装这些扩展的用户立即卸载,检查是否存在意外仓库,并轮换环境密钥。恶意构件已被移除,暂未发现其他受影响构件。该事件被追踪为(CVE-2026-28353)。
需要指出的是,系统受此问题影响需满足以下前提条件:
- 从 Open VSX 安装了 1.8.12 或 1.8.13 版本
- 本地至少安装了一个目标 AI 编码 CLI
- CLI 接受了提供的高权限执行标志
- 代理能够访问磁盘上的敏感数据
- 已安装并验证 GitHub CLI(针对 1.8.13 版本)
"从 .12 到 .13 版本的演进像是迭代过程,"Socket 分析称,"第一个版本将数据分散到随机通道,攻击者无法可靠收集输出;第二个版本通过使用受害者自己的 GitHub 账户作为干净的外泄通道解决了这个问题,但其模糊的指令可能导致代理将密钥推送到攻击者无法查看的私有仓库。"