Cinq caisses Rust malveillantes et un robot IA exploitent les pipelines CI/CD pour voler les secrets des développeurs

The Hacker News - TheHackerNews - 11/03
Cinq caisses Rust malveillantes et un robot IA ont exploité des pipelines CI/CD et des actions GitHub en février 2026, volant des secrets et des jetons de développeur.

Les chercheurs en cybersécurité ont découvert cinq caisses Rust malveillantes qui se font passer pour des utilitaires temporels permettant de transmettre les données des fichiers .env aux acteurs malveillants.

Les packages Rust, publiés sur crates.io, sont répertoriés ci-dessous -

  • chrono_ancre
  • dnp3 fois
  • time_calibrator
  • time_calibrators
  • synchronisation temporelle

Les caisses, selon Socket, usurpent l'identité de timeapi.io et ont été publiées entre fin février et début mars 2026. Il est estimé qu'il s'agit du travail d'un seul acteur malveillant basé sur l'utilisation de la même méthodologie d'exfiltration et du domaine similaire (« timeapis[.]io ») pour cacher les données volées.

"Bien que les caisses se présentent comme des utilitaires d'heure locale, leur comportement principal est le vol d'informations d'identification et de secrets", a déclaré le chercheur en sécurité Kirill Boychenko. "Ils tentent de collecter des données sensibles provenant des environnements de développement, notamment les fichiers .env, et de les exfiltrer vers une infrastructure contrôlée par les acteurs malveillants."

Alors que quatre des ...
[Courte citation de 8% de l'article original]

Loading...