五个恶意 Rust 组件与 AI 机器人利用 CI/CD 管道窃取开发者密钥
嗯,用户让我帮忙总结一篇文章的内容,控制在100字以内,而且不需要特定的开头。首先,我得仔细阅读这篇文章,了解它的主要内容。 文章主要讲的是网络安全研究人员发现了五个伪装成时间相关工具的恶意Rust组件。这些组件通过crates.io发布,目的是窃取.env文件中的敏感数据。此外,还有一个AI驱动的机器人利用GitHub Actions攻击开源仓库的CI/CD管道,窃取开发者密钥。 接下来,我需要提取关键信息:恶意Rust组件、伪装成时间工具、窃取.env文件数据、攻击者利用供应链漏洞、AI机器人攻击GitHub Actions、影响开发者环境和云服务等。 然后,我要把这些信息浓缩到100字以内,确保涵盖主要事件和影响。同时,避免使用“文章内容总结”之类的开头语。 最后,检查一下是否符合用户的要求,确保语言简洁明了。 </think> 网络安全研究人员发现五个伪装成时间工具的恶意 Rust 组件(crate),这些组件会窃取 .env 文件中的敏感数据并将其传输给攻击者。此外,AI 驱动的机器人利用 GitHub Actions 攻击开源仓库的 CI/CD 管道,窃取开发者密钥和访问令牌。这些攻击活动表明供应链恶意软件和自动化攻击对开发者环境和云服务构成严重威胁。 2026-3-11 02:42:0 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

image

网络安全研究人员发现五个伪装成时间相关工具的恶意 Rust 组件(crate),这些组件会将 .env 文件数据传输给攻击者。这些通过 crates.io 发布的 Rust 软件包包括:

  • chrono_anchor
  • dnp3times
  • time_calibrator
  • time_calibrators
  • time-sync

据 Socket 分析,这些组件伪装成 timeapi.io 服务,于 2026 年 2 月下旬至 3 月上旬发布。由于使用了相同的数据外泄方法和相似的域名("timeapis[.]io")存储窃取的数据,研究人员判断这些攻击出自同一威胁行为者之手。

"虽然这些组件伪装成本地时间工具,但其核心行为是窃取凭证和密钥,"安全研究员 Kirill Boychenko 表示,"它们试图从开发者环境中收集敏感数据(特别是 .env 文件),并将其外泄至攻击者控制的基础设施。"

在上述五个软件包中,有四个仅具备基础的 .env 文件外泄功能,而 "chrono_anchor" 则更进一步,通过实施混淆和操作变更来规避检测。这些组件被宣传为无需依赖网络时间协议(NTP)即可校准本地时间的工具。

"chrono_anchor" 将外泄逻辑隐藏在名为 "guard.rs" 的文件中,该文件通过 "optional sync" 辅助函数调用,以避免引起开发者怀疑。与其他恶意软件不同,该代码并不试图通过服务或计划任务在主机上建立持久性,而是在持续集成(CI)工作流的开发者每次调用恶意代码时,重复尝试外泄 .env 文件中的密钥。

攻击者针对 .env 文件并非偶然,因为这类文件通常包含 API 密钥、令牌和其他敏感信息,可使攻击者危害下游用户,并深入访问其环境(包括云服务、数据库、GitHub 和注册表令牌)。

虽然这些软件包已从 crates.io 下架,但可能误下载的用户应假设密钥已遭泄露,建议立即轮换密钥和令牌,审核使用发布或部署凭证运行的 CI/CD 任务,并尽可能限制出站网络访问。

"此次攻击活动表明,低复杂度的供应链恶意软件在开发者工作区和 CI 任务中运行时仍能造成重大影响,"Socket 强调,"应优先实施控制措施,在恶意依赖项执行前将其阻止。"

AI 驱动的机器人利用 GitHub Actions

此次披露之前,研究人员还发现了一场针对主要开源仓库 CI/CD 管道的自动化攻击活动。一个名为 hackerbot-claw 的 AI 驱动机器人扫描公共仓库,寻找可利用的 GitHub Actions 工作流以窃取开发者密钥。

2026 年 2 月 21 日至 28 日期间,这个自称"自主安全研究代理"的 GitHub 账户瞄准了至少七个仓库,包括微软、Datadog 和 Aqua Security 等企业的项目。

攻击流程如下:

  • 扫描公共仓库寻找配置错误的 CI/CD 管道
  • 分叉目标仓库并准备恶意负载
  • 提交包含拼写修复等微小变更的拉取请求,同时将主要负载隐藏在分支名称、文件名或 CI 脚本中
  • 利用工作流在每个拉取请求上自动激活的特性触发 CI 管道,导致恶意代码在构建服务器上执行
  • 窃取密钥和访问令牌

此次攻击的最高调目标是 Aqua Security 的热门安全扫描器仓库 "aquasecurity/trivy",该工具用于检测已知漏洞、错误配置和密钥。

"hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌(PAT),"供应链安全公司 StepSecurity 表示,"失窃的凭证随后被用于接管仓库。"

Aqua Security 的 Itay Shakury 在上周发布的声明中透露,攻击者利用 GitHub Actions 工作流向 Open VSX 注册表推送了 Trivy 的 Visual Studio Code(VS Code)扩展的恶意版本,通过本地 AI 编码代理收集并外泄敏感信息。

同样调查了此次扩展入侵事件的 Socket 表示,1.8.12 和 1.8.13 版本中注入的逻辑会以高权限模式执行本地 AI 编码助手(包括 Claude、Codex、Gemini、GitHub Copilot CLI 和 Kiro CLI),指示它们执行广泛的系统检查、生成发现信息的报告,并使用受害者经过身份验证的 GitHub CLI 会话将结果保存到名为 "posture-report-trivy" 的 GitHub 仓库中。

Aqua 已从市场移除相关构件并撤销发布令牌。建议安装这些扩展的用户立即卸载,检查是否存在意外仓库,并轮换环境密钥。恶意构件已被移除,暂未发现其他受影响构件。该事件被追踪为(CVE-2026-28353)。

需要指出的是,系统受此问题影响需满足以下前提条件:

  • 从 Open VSX 安装了 1.8.12 或 1.8.13 版本
  • 本地至少安装了一个目标 AI 编码 CLI
  • CLI 接受了提供的高权限执行标志
  • 代理能够访问磁盘上的敏感数据
  • 已安装并验证 GitHub CLI(针对 1.8.13 版本)

"从 .12 到 .13 版本的演进像是迭代过程,"Socket 分析称,"第一个版本将数据分散到随机通道,攻击者无法可靠收集输出;第二个版本通过使用受害者自己的 GitHub 账户作为干净的外泄通道解决了这个问题,但其模糊的指令可能导致代理将密钥推送到攻击者无法查看的私有仓库。"

参考来源:

Five Malicious Rust Crates and AI Bot Exploit CI/CD Pipelines to Steal Developer Secrets

本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)


文章来源: https://www.freebuf.com/articles/development/473137.html
如有侵权请联系:admin#unsafe.sh