Зловредные пакеты Rust и ИИ-бот атакуют CI/CD-конвейеры для кражи секретов разработчиков
Исследователи кибербезопасности обнаружили сложную атаку на цепочку поставок в экосистеме Rust, включающую пять вредоносных пакетов, опубликованных в официальном репозитории crates.io. Эти пакеты, маскирующиеся под легитимные утилиты для работы со временем, были предназначены для скрытой передачи конфиденциальных данных из файлов `.env` из сред разработки на инфраструктуру, контролируемую злоумышленниками. Согласно анализу компании Socket, пакеты имитировали легитимный сервис timeapi.io и были опубликованы в период с конца февраля по начало марта 2026 года. Исследователи считают, что это работа одного угрозного актора, основываясь на единообразных методах эксфильтрации и использовании похожего домена `timeapis[.]io` для промежуточного хранения данных.
Вредоносные пакеты под названиями `chrono_utilities`, `time_converter`, `local_time_sync`, `epoch_toolkit` и `chrono_anchor` рекламировались как инструменты для калибровки локального времени без использования NTP. Однако их основной функцией была кража учетных данных и секретов. "Хотя пакеты притворяются утилитами для работы со временем, их основное поведение — это кража учетных данных и секретов", — пояснил исследователь безопасности Кирилл Бойченко. "Они пытаются собрать конфиденциальные данные из сред разработки, в первую очередь файлы `.env`, и передать их на контролируемую злоумышленниками инфраструктуру". В то время как четыре пакета использовали относительно прямые методы эксфильтрации, `chrono_anchor` применял продвинутые методы обфускации и меры операционной безопасности для уклонения от обнаружения.
Пакет `chrono_anchor` специально встраивал свою вредоносную логику в файл с именем `guard.rs`, который вызывался из казалось бы безобидной "опциональной" вспомогательной функции синхронизации. Такой дизайн был направлен на то, чтобы не вызывать подозрений при проверке кода. В отличие от типичного вредоносного ПО, которое обеспечивает устойчивое присутствие в системе, этот пакет был сконструирован для активации своей процедуры эксфильтрации каждый раз, когда рабочий процесс непрерывной интеграции разработчика выполнял вредоносный код. Этот подход использует автоматизированную природу CI/CD-конвейеров, обеспечивая повторяющуюся кражу данных в процессе сборки. Целевое внимание к файлам `.env` является стратегическим, поскольку в них часто хранятся критически важные секреты, такие как API-ключи, учетные данные базы данных, токены облачных сервисов и ключи доступа к реестрам, что дает злоумышленникам путь для компрометации зависимых сервисов и инфраструктуры.
В рамках связанной и развивающейся угрозы исследователи также выявили эксплуатацию ИИ-ассистентов для написания кода, таких как GitHub Copilot. Злоумышленники создают вредоносные репозитории, специально оптимизированные для того, чтобы эти инструменты предлагали зараженный код или команды разработчикам, ищущим решения в сети. Этот метод использует доверие к автоматически предлагаемому коду, потенциально обходя обычную бдительность.
Эта комбинация атак на цепочку поставок и манипуляции с ИИ-инструментами разработки представляет собой тревожную эскалацию в тактике киберпреступников. Атаки нацелены на самые основы современных процессов разработки: автоматизированные конвейеры развертывания и инструменты, повышающие производительность. Успешное проникновение может привести к массовой утечке секретов, компрометации облачных сред и дальнейшим атакам на конечных пользователей приложений.
Эксперты настоятельно рекомендуют разработчикам Rust тщательно проверять зависимости, особенно новые или малоизвестные пакеты, даже из официального репозитория. Критически важно сканировать код на наличие подозрительных сетевых вызовов, проверять домены и использовать инструменты безопасности для анализа зависимостей. Также необходимо проявлять осторожность при принятии кода, предлагаемого ИИ-ассистентами, и всегда проводить его проверку.
