Los investigadores de ciberseguridad han descubierto cinco cajas Rust maliciosas que se hacen suceder por utilidades relacionadas con el tiempo para transmitir datos de archivos .env a los actores de la amenaza.
Los paquetes de Rust, publicados en crates.io, se enumeran a continuación:
- crono_ancla
- dnp3veces
- calibrador_tiempo
- calibradores_de_tiempo
- sincronización de tiempo
Las cajas, según Socket, se hacen suceder por timeapi.io y se publicaron entre finales de febrero y principios de marzo de 2026. Se considera que es el trabajo de un único actor de amenazas basado en el uso de la misma metodología de exfiltración y el dominio similar (“timeapis(.)io”) para ocultar los datos robados.
“Aunque las cajas se hacen suceder por servicios de hora lugar, su comportamiento principal es el robo de credenciales y secretos”, dijo el investigador de seguridad Kirill Boychenko. “Intentan compilar datos confidenciales de entornos de desarrolladores, sobre todo archivos .env, y exfiltrarlos a una infraestructura controlada por actores de amenazas”.
Si correctamente cuatro de los paquetes antiguamente mencionados exhiben capacidades harto sencillas para filtrar archivos .env, “chrono_anchor” va un paso más allá al implementar ofuscación y cambios operativos para evitar la detección. Las cajas se anunciaron como una forma de calibrar la hora lugar sin obedecer del Protocolo de hora de red (NTP).
“Chrono_anchor” incorpora la método de exfiltración interiormente de un archivo llamado “guard.rs” que se invoca desde una función auxiliar de “sincronización opcional” para evitar consolar sospechas de los desarrolladores. A diferencia de otros programas maliciosos, el código observado en este caso no tiene como objetivo establecer la persistencia en el host a través de un servicio o tarea programada.
En cambio, la caja intenta filtrar repetidamente secretos .env cada vez que el desarrollador de un flujo de trabajo de Integración Continua (CI) fuego al código malvado.
El objetivo de archivos .env no es un desnivel, ya que normalmente se usa para contener claves API, tokens y otros secretos, lo que permite a un atacante comprometer a los usuarios intermedios y obtener un golpe más profundo a sus entornos, incluidos servicios en la nubarrón, bases de datos y GitHub y tokens de registro.
Si correctamente los paquetes se eliminaron de crates.io, se recomienda a los usuarios que los hayan descargado accidentalmente que asuman una posible exfiltración, roten claves y tokens, auditen los trabajos de CI/CD que se ejecutan con credenciales de publicación o implementación y limiten el golpe saliente a la red cuando sea posible.
“Esta campaña muestra que el malware de sujeción de suministro de desvaloración complejidad aún puede tener un suspensión impacto cuando se ejecuta interiormente de espacios de trabajo de desarrolladores y trabajos de CI”, afirmó Socket. “Priorizar controles que detengan las dependencias maliciosas antiguamente de que se ejecuten”.
Un bot impulsado por IA aprovecha las acciones de GitHub
La divulgación se produce tras el descubrimiento de una campaña de ataque automatizado dirigida a canales de CI/CD que abarcan los principales repositorios de código extenso, con un androide impulsado por inteligencia químico (IA) llamado hackerbot-claw que escanea repositorios públicos en exploración de flujos de trabajo explotables de GitHub Actions para compilar secretos de los desarrolladores.
Entre el 21 y el 28 de febrero de 2026, la cuenta de GitHub, que se describió a sí misma como un agente autónomo de investigación de seguridad, apuntó a no menos de siete repositorios pertenecientes a Microsoft, Datadog y Aqua Security, entre otros.
El ataque se desarrolla de la venidero guisa:
- Escanee repositorios públicos en exploración de canalizaciones de CI/CD mal configuradas
- Bifurca el repositorio de destino y prepara una carga útil maliciosa
- Ensenada una solicitud de linaje con un cambio trivial, como una corrección de error tipográfico, mientras oculta la carga útil principal en el nombre de la rama, el nombre del archivo o un script de CI.
- Active la canalización de CI aprovechando el hecho de que los flujos de trabajo se activan automáticamente en cada solicitud de linaje, lo que hace que el código malvado se ejecute en el servidor de compilación.
- Robar secretos y tokens de golpe
Uno de los objetivos más destacados del ataque fue el repositorio “aquasecurity/trivy”, un popular escáner de seguridad de Aqua Security que exploración vulnerabilidades, configuraciones erróneas y secretos conocidos.
“Hackerbot-claw aprovechó un flujo de trabajo pull_request_target para robar un token de golpe personal (PAT)”, dijo la empresa de seguridad de la sujeción de suministro StepSecurity. “La credencial robada se utilizó luego para apoderarse del repositorio”.
En una enunciación emitida la semana pasada, Itay Shakury de Aqua Security reveló que el atacante aprovechó el flujo de trabajo de GitHub Actions para mandar una traducción maliciosa de la extensión Visual Studio Code (VS Code) de Trivy al registro Open VSX para beneficiarse los agentes de codificación de IA locales para compilar y exfiltrar información confidencial.
Socket, que asimismo investigó el compromiso de la extensión, dijo que la método inyectada en las versiones 1.8.12 y 1.8.13 ejecuta asistentes de codificación de IA locales, incluidos Claude, Codex, Gemini, GitHub Copilot CLI y Kiro CLI, en modos en gran medida permisivos, indicándoles que realicen una inspección exhaustiva del sistema, generen un documentación de la información descubierta y guarden los resultados en un repositorio de GitHub llamado “posture-report-trivy” usando el archivo de la víctima. propia sesión CLI de GitHub autenticada.
Desde entonces, Aqua eliminó los artefactos del mercado y revocó el token utilizado para publicarlos. Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente, verifiquen la presencia de repositorios inesperados y roten los secretos del entorno. El artefacto malvado ha sido eliminado. No se han identificado otros artefactos afectados. El incidente se rastrea con el identificador CVE CVE-2026-28353.
Vale la pena señalar que para que un sistema se vea afectado por el problema, se deben cumplir los siguientes requisitos previos:
- Se instaló la traducción 1.8.12 o 1.8.13 desde Open VSX
- Al menos una de las CLI de codificación de IA específicas se instaló localmente
- La CLI aceptó los indicadores de ejecución permisivos proporcionados.
- El agente pudo conseguir a datos confidenciales en el disco.
- La CLI de GitHub se instaló y se autenticó (para la traducción 1.8.13)
“La progresión de .12 a .13 parece una iteración”, dijo Socket. “El primer mensaje dispersa datos a través de canales aleatorios sin que el atacante tenga una forma confiable de compilar el resultado. El segundo soluciona ese problema usando la propia cuenta de GitHub de la víctima como un canal de exfiltración libre, pero sus instrucciones vagas pueden hacer que el agente envíe secretos a un repositorio privado que el atacante no puede ver”.
