Các nhà nghiên cứu an ninh mạng đã phát hiện năm Rust crate độc hại giả dạng các tiện ích liên quan đến thời gian để truyền dữ liệu tệp .env cho những kẻ tấn công.
Các gói Rust, được xuất bản trên crates.io, được liệt kê dưới đây:
- chrono_anchor
- dnp3times
- time_calibrator
- time_calibrators
- time-sync
Theo Socket, các crate này mạo danh timeapi.io và được xuất bản từ cuối tháng 2 đến đầu tháng 3 năm 2026. Đây được đánh giá là công việc của một tác nhân đe dọa duy nhất dựa trên việc sử dụng cùng một phương pháp exfiltration và tên miền trông giống ("timeapis[.]io") để lưu trữ dữ liệu bị đánh cắp.
"Mặc dù các crate này giả dạng tiện ích thời gian cục bộ, hành vi cốt lõi của chúng là đánh cắp thông tin đăng nhập và bí mật," nhà nghiên cứu bảo mật Kirill Boychenko cho biết. "Chúng cố gắng thu thập dữ liệu nhạy cảm từ môi trường nhà phát triển, đáng chú ý nhất là các tệp .env, và exfiltrate dữ liệu đó đến cơ sở hạ tầng do tác nhân đe dọa kiểm soát."
Trong khi bốn gói kể trên thể hiện khả năng exfiltrate các tệp .env khá đơn giản, "chrono_anchor" tiến thêm một bước bằng cách triển khai obfuscation và thay đổi hoạt động để tránh bị phát hiện. Các crate này được quảng cáo là một cách để hiệu chỉnh thời gian cục bộ mà không cần dựa vào Network Time Protocol (NTP).
"Chrono_anchor" tích hợp logic exfiltration bên trong một tệp có tên "guard.rs" được gọi từ một hàm trợ giúp "optional sync" để tránh gây nghi ngờ cho nhà phát triển. Không giống như các phần mềm độc hại khác, mã được quan sát trong trường hợp này không nhằm mục đích thiết lập persistence trên máy chủ thông qua một dịch vụ hoặc tác vụ theo lịch trình.
Thay vào đó, crate này cố gắng liên tục exfiltrate các bí mật .env mỗi khi nhà phát triển của một workflow Continuous Integration (CI) gọi mã độc hại.
Việc nhắm mục tiêu vào các tệp .env không phải là ngẫu nhiên, vì chúng thường được sử dụng để chứa API keys, tokens và các bí mật khác, cho phép kẻ tấn công thỏa hiệp người dùng hạ nguồn và có được quyền truy cập sâu hơn vào môi trường của họ, bao gồm các dịch vụ đám mây, cơ sở dữ liệu, cũng như GitHub và registry tokens.
Trong khi các gói đã được gỡ bỏ khỏi crates.io, những người dùng có thể đã vô tình tải xuống chúng được khuyến nghị nên giả định khả năng exfiltration, xoay vòng keys và tokens, kiểm tra các job CI/CD chạy với thông tin đăng nhập publish hoặc deploy, và hạn chế truy cập mạng ra bên ngoài nếu có thể.
"Chiến dịch này cho thấy rằng phần mềm độc hại supply chain có độ phức tạp thấp vẫn có thể gây ra tác động lớn khi nó chạy bên trong không gian làm việc của nhà phát triển và các job CI," Socket cho biết. "Ưu tiên các biện pháp kiểm soát ngăn chặn các dependency độc hại trước khi chúng thực thi."
Bot AI khai thác GitHub Actions
Tiết lộ này tiếp nối việc phát hiện một chiến dịch tấn công tự động nhắm mục tiêu vào các CI/CD pipelines trải dài các kho lưu trữ mã nguồn mở lớn, với một bot được hỗ trợ bởi trí tuệ nhân tạo (AI) có tên hackerbot-claw quét các kho lưu trữ công khai để tìm các GitHub Actions workflow có thể bị khai thác nhằm thu thập bí mật của nhà phát triển.
Từ ngày 21 đến ngày 28 tháng 2 năm 2026, tài khoản GitHub này, tự mô tả là một tác nhân nghiên cứu bảo mật tự động, đã nhắm mục tiêu vào ít nhất bảy kho lưu trữ thuộc về Microsoft, Datadog và Aqua Security, cùng nhiều tổ chức khác.
Cuộc tấn công diễn ra như sau:
- Quét các kho lưu trữ công khai để tìm các CI/CD pipelines bị cấu hình sai
- Fork kho lưu trữ mục tiêu và chuẩn bị payload độc hại
- Mở một pull request với một thay đổi nhỏ như sửa lỗi chính tả, đồng thời che giấu payload chính trong tên nhánh, tên tệp hoặc một script CI
- Kích hoạt CI pipeline bằng cách tận dụng việc các workflow tự động được kích hoạt trên mỗi pull request, khiến mã độc hại được thực thi trên build server
- Đánh cắp secrets và access tokens
Một trong những mục tiêu nổi bật nhất của cuộc tấn công là kho lưu trữ "aquasecurity/trivy," một công cụ quét bảo mật phổ biến từ Aqua Security tìm kiếm các lỗ hổng đã biết, cấu hình sai và secrets.
"Hackerbot-claw đã khai thác một pull_request_target workflow để đánh cắp một Personal Access Token (PAT)," công ty bảo mật supply chain StepSecurity cho biết. "Thông tin đăng nhập bị đánh cắp sau đó đã được sử dụng để chiếm quyền kiểm soát kho lưu trữ."
Trong một tuyên bố được đưa ra vào tuần trước, Itay Shakury của Aqua Security tiết lộ rằng kẻ tấn công đã tận dụng GitHub Actions workflow để đẩy một phiên bản độc hại của extension Visual Studio Code (VS Code) của Trivy lên Open VSX registry nhằm tận dụng các AI coding agents cục bộ để thu thập và exfiltrate thông tin nhạy cảm.
Socket, đơn vị cũng điều tra sự thỏa hiệp của extension, cho biết logic được inject trong các phiên bản 1.8.12 và 1.8.13 thực thi các AI coding assistants cục bộ, bao gồm Claude, Codex, Gemini, GitHub Copilot CLI và Kiro CLI, ở chế độ cho phép cao, hướng dẫn chúng thực hiện kiểm tra hệ thống mở rộng, tạo báo cáo về thông tin đã phát hiện và lưu kết quả vào một kho lưu trữ GitHub có tên "posture-report-trivy" bằng phiên GitHub CLI đã được xác thực của nạn nhân.
Aqua đã gỡ bỏ các artifact khỏi marketplace và thu hồi token được sử dụng để xuất bản chúng. Người dùng đã cài đặt các extension này được khuyến nghị nên gỡ bỏ chúng ngay lập tức, kiểm tra sự hiện diện của các kho lưu trữ không mong muốn và xoay vòng environment secrets. Artifact độc hại đã được gỡ bỏ. Không có artifact bị ảnh hưởng nào khác được xác định. Sự cố đang được theo dõi dưới định danh CVE CVE-2026-28353.
Điều đáng chú ý là để một hệ thống bị ảnh hưởng bởi vấn đề này, các điều kiện tiên quyết sau cần được đáp ứng:
- Phiên bản 1.8.12 hoặc 1.8.13 được cài đặt từ Open VSX
- Ít nhất một trong các AI coding CLIs được nhắm mục tiêu đã được cài đặt cục bộ
- CLI chấp nhận các cờ thực thi cho phép cao được cung cấp
- Agent có thể truy cập dữ liệu nhạy cảm trên đĩa
- GitHub CLI đã được cài đặt và xác thực (đối với phiên bản 1.8.13)
"Sự tiến triển từ .12 lên .13 trông giống như một sự lặp lại," Socket cho biết. "Lời nhắc đầu tiên rải dữ liệu qua các kênh ngẫu nhiên mà không có cách nào đáng tin cậy để kẻ tấn công thu thập đầu ra. Lời nhắc thứ hai khắc phục vấn đề đó bằng cách sử dụng tài khoản GitHub của chính nạn nhân làm kênh exfiltration sạch, nhưng các hướng dẫn mơ hồ của nó có thể khiến agent đẩy bí mật vào một repo riêng tư mà kẻ tấn công không thể nhìn thấy."
