Os pacotes, embora se apresentem como ferramentas para calibrar o tempo local, têm como objetivo principal o roubo de credenciais e segredos. Eles coletam dados sensíveis dos ambientes de desenvolvimento, especialmente arquivos .env, e os enviam para uma infraestrutura controlada pelo atacante. O pacote “chrono_anchor” se destaca por implementar técnicas de ofuscação para evitar detecção, enquanto os outros pacotes têm capacidades mais diretas de exfiltração.
Os arquivos .env são alvos estratégicos, pois armazenam chaves de API, tokens e outros segredos que podem comprometer usuários e permitir acesso a serviços em nuvem, bancos de dados e tokens de registro. Embora os pacotes tenham sido removidos do crates.io, desenvolvedores que possam ter baixado esses pacotes são aconselhados a rotacionar chaves e tokens, auditar trabalhos de CI/CD e limitar o acesso de rede.
Além dos pacotes de Rust, uma campanha automatizada foi descoberta, visando pipelines CI/CD em repositórios de código aberto. Um bot de IA chamado “hackerbot-claw” escaneou repositórios públicos em busca de workflows do GitHub Actions mal configurados para roubar segredos de desenvolvedores. Entre 21 e 28 de fevereiro de 2026, o bot atacou repositórios de empresas como Microsoft, Datadog e Aqua Security.
O ataque consistia em escanear repositórios públicos, forkar o repositório alvo, preparar uma carga maliciosa e abrir um pull request com uma mudança trivial. Isso acionava o pipeline CI, permitindo a execução do código malicioso no servidor de build e o roubo de segredos e tokens de acesso. Um dos alvos de destaque foi o repositório “aquasecurity/trivy”, da Aqua Security, onde o bot explorou um workflow para roubar um Token de Acesso Pessoal (PAT).
A Aqua Security removeu os artefatos comprometidos e revogou o token usado para publicação. Usuários que instalaram as extensões comprometidas devem removê-las imediatamente, verificar repositórios inesperados e rotacionar segredos de ambiente. O incidente está sendo monitorado sob o identificador CVE-2026-28353.
Fonte:https://thehackernews.com/2026/03/five-malicious-rust-crates-and-ai-bot.html
