Исследователи кибербезопасности выявили пять вредоносных библиотек для языка программирования Rust, использующие вредоносный код под видом утилит для управления временем. Эти библиотеки направлены на кражу конфиденциальных данных, таких как .env файлы, содержащие важные секреты разработчиков.
Среди обнаруженных пакетов — chrono_anchor, dnp3times, time_calibrator, time_calibrators и time-sync. Все они были выпущены с конца февраля по начало марта 2026 года. Предполагается, что за этой атакой стоит один злоумышленник, использующий схожую методику эксфильтрации данных и адреса, близкие к timeapi.io.
По словам исследователя Кирилла Бойченко, несмотря на то, что библиотеки позиционируются как инструменты для настройки времени, их настоящая цель — кража учетных данных и конфиденциальной информации. «Они стремятся собирать чувствительные данные с рабочих окружений разработчиков, особенно .env файлы, и отправлять их на инфраструктуру, контролируемую злоумышленниками», — отметил он.
Методы эксфиляции и обфускации
Четыре пакета просто эксфильтруют данные, но chrono_anchor использует дополнительные методы обфускации, чтобы избежать обнаружения. В отличие от традиционного вредоносного ПО, код не пытается установить постоянный контроль на хосте, а запускает процесс эксфиляции каждый раз, когда злонамеренный код вызывается в CI/CD пайплайне.
Шифрование данных из .env файлов происходит не случайно, так как они используются для хранения ключей API и других секретов. Это позволяет злоумышленникам наносить удар по целым окружениям и сервисам — таким как облачные решения и базы данных. Хотя библиотеки уже удалены с crates.io, пользователям рекомендуется проверить свои окружения и сменить ключи доступа.
Автоматизированные атаки с использованием ИИ
Дополнительно эксперты обнаружили автоматизированную кампанию, направленную на CI/CD пайплайны популярных открытых репозиториев с использованием ИИ-бота hackerbot-claw. Этот бот сканирует публичные репозитории на наличие уязвимостей в рабочих процессах GitHub Actions для кражи секретов разработчиков.
С 21 по 28 февраля 2026 года его атаки затронули не менее семи репозиториев, включая проекты Microsoft, Datadog и Aqua Security. Бот использует тактику, схожую с кейсом с вредоносными библиотеками, создавая pull-запросы с незначительными изменениями, чтобы активировать CI пайплайны и внедрить свой код.
Так, hackerbot-claw совершил атаку на репозиторий aquasecurity/trivy, что еще раз подчеркивает серьезность угрозы.
Меры безопасности для разработчиков
Эти инциденты показывают, как даже низкokomплексные вредоносные программы могут принести значительный вред в среде разработчиков. Пользователи должны приоритизировать меры предосторожности для предотвращения попадания вредоносных зависимостей в свои проекты, повышая безопасность своих CI/CD пайплайнов и контроля доступа к секретам.
The post Исследование: пять вредоносных библиотек для Rust крадут секреты разработчиков appeared first on itech-news.