Die Sicherheitsgemeinschaft hat vor kurzem wieder Alarm ausgelöst: schädliche Pakete in Rust wurden erkannt, die kommen, umcrates.iomit einem unschuldigen Look und einem einfachen Versprechen: Nutzen, um lokale Zeit zu synchronisieren oder zu kalibrieren, ohne auf NTP zu verlassen. Unter dieser Fassade wurde jedoch viel gefährlicheres Verhalten versteckt: die Entfernung von Geheimnissen aus den Entwicklungsumgebungen - vor allem .env-Dateien - und deren Versendung an Server, die von den Angreifern kontrolliert werden.
Die Untersuchung, detailliert von der Firma Socket, identifiziert fünf Kisten veröffentlicht zwischen Ende Februar und Anfang März 2026 mit Namen, die imitierte Zeit Gewinne, darunter Chrono _ Anker, dnp3times, Zeit _ kalibrator, Zeit _ Kaliber und Zeitsynchronisation. Laut Analysten teilen sie alle die gleiche Exfiltrationstechnik und eine gemeinsame Datenempfangsinfrastruktur, die eine legitime Zeit-Service-Impersonator-Domain verwendet, die auf die Wirkung eines einzigen schädlichen Schauspielers verweist. Sie können die technische Analyse auf dem Socket Blog lesen: Steckdose.dev.
Was in diesem Fall besonders stört, ist die Auswahl des Ziels: .env-Dateien sind ein regelmäßiges Ziel, weil sie in der Regel API-Schlüssel, Zugriffstoken und andere sensible Anmeldeinformationen enthalten, die, wenn sie in die falschen Hände fallen, ermöglichen, bis zu Cloud-Dienste, Datenbanken oder sogar Veröffentlichung in Aufzeichnungen und Repositories mit hohen Berechtigungen. Die schädlichen Pakete wurden entworfen, um diese Dateien zu lesen, wenn der Code in Entwicklungsumgebungen oder in kontinuierlichen Integration Pipelines ausgeführt wurde, und um seinen Inhalt an die Infrastruktur des Angreifers zu übertragen.
Unter den erfassten Paketen, Chrono _ Anker Es wurde durch seinen expliziten Versuch hervorgehoben, schädliche Funktionalität zu tarnen: die Extraktionslogik wurde in einer Datei namens guard.rs gefunden und wurde von einer optionalen Hilfsfunktion aufgerufen, wodurch die Wahrscheinlichkeit, dass ein Entwickler würde misstrauen. Darüber hinaus war es die Strategie, die Exfiltration jedes Mal, wenn die Rate in einem CI-Flow durchgeführt wurde, zu wiederholen und so die Auswirkungen zu multiplizieren, wenn das Paket in eine automatisierte Pipeline integriert wurde.
Die unmittelbare Empfehlung, die sie bereits auf die Tabelle sowohl Sockel als auch andere Signaturen gesetzt haben, besteht darin, die schlimmste Hypothese für alle Geräte zu übernehmen, die diese Pakete herunterladen oder integrieren konnten: Schlüssel- und Tokendrehung, umfassendes Audit der CI / CD-Arbeit, die Veröffentlichungs- oder Bereitstellungsgenehmigungen hat, und Reduktion der Netzleistung von den Läufern, in denen die Pipelines ausgeführt werden. Socket fasst die Lektion gut zusammen: Kontrollen, die schädliche Abhängigkeiten blockieren, bevor sie ausgeführt werden, sind viel effektiver als versuchen, das Leck zu enthalten, sobald es begonnen hat.
Dieser Vorfall ist nicht isoliert. Parallel gesehen haben wir automatisierte Kampagnen, die GitHub Actions Pipelines mit künstlichen Intelligenz-getriebenen Bots direkt angreifen. Ein von StepSecurity dokumentiertes Beispiel beschreibt, wie ein automatisierter Agent, selbst genannt Hackerbot-Klaue, öffentliche Repositories auf der Suche nach schlecht konfigurierten Workflows inspiziert, Gabeln erstellt und anscheinend sichere Pull-Anforderungen ersucht, um die Ausführung von Workflows zur Erfassung von in Läufern vorhandenen Geheimnissen zu zwingen. Der StepSecurity-Bericht erklärt im Detail diesen Modus operandi und wie die Verwendung von Strömen wie Pull _ Anfrage _ Ziel kann von Angreifern verwendet werden: schrittsicherheit.io.
Eines der neuesten Medien-Fälle war das Aqua Security Trivy Tool, wo ein ausgenutzter Workflow dem Angreifer erlaubte, eine bösartige Version der Visual Studio-Erweiterung im Open VSX-Record zu veröffentlichen. Diese Erweiterung beinhaltete Anweisungen zur Ausführung von KI-Codeassistenten auf sehr permissive Weise und zur Erfassung von Systeminformationen, die dann mit den Anmeldeinformationen desjenigen, der den Fluss ausgeführt hatte, in ein Repository geleitet wurden. Aqua Security veröffentlichte Details und Minderungen in seinem offiziellen Forum, während Socket untersuchte und veröffentlichte eigene Erkenntnisse über die unberechtigte Ausführung von KI-Agenten: Aqua's Erklärung und Socketanalyse.
Diese Vorfälle bieten eine klare Lektion für Entwickler und Sicherheitsausrüstung: Die Software-Versorgungskette ist eine kritische Oberfläche und jede Einheit, so klein wie es scheinen mag, kann ein Angriffsvektor werden. Neben reaktiven Maßnahmen - die Beseitigung von betroffenen Einheiten und die Rotation von Anmeldeinformationen - ist es unerlässlich, vorbeugende Maßnahmen an zwei Fronten zu ergreifen: die Kontrolle von Einheiten und das Anziehen von Rohrleitungen. Werkzeuge wie Rustikale und Fracht-Audit helfen, verletzliche oder engagierte Pakete in Rust-Projekten zu identifizieren, und GitHubs Sicherheitsführer für Aktionen bieten Praktiken, um das Risiko einer unzuverlässigen Codeausführung in Läufern zu reduzieren: Sicherheitsschande für GitHub Aktionen. Es wird auch empfohlen, die Richtlinien für den Zugang zu Token zu überprüfen, um die Verwendung von Anmeldeinformationen mit schriftlichen Genehmigungen zu vermeiden, die durch Zug-Anforderungen für externe Beiträge gefeuert werden, und Netzwerk-Ausgangsbarrieren von Läufern, soweit möglich zu etablieren.
Wenn Ihr Projekt hätte irgendeine dieser Kisten konsumieren können, ist es ratsam, davon auszugehen, dass es eine Exposition gegeben hat: es eliminiert die betroffenen Einheiten, entzieht und ersetzt Schlüssel und Token, die von den Pipelines verwendet wurden, inspiziert sowohl lokale als auch entfernte Repositories auf der Suche nach unerwarteten Aktivitäten und überprüft die Berechtigungen in den CI-Flows. Die Community und Plattformen wurden schnell gelöscht, um schädliche Pakete aus den Datensätzen, aber das verhindert nicht das Risiko, wenn sie bereits heruntergeladen und ausgeführt wurden.
Letztendlich zeigen diese Vorfälle, dass auch Low-Complexity-Code erhebliche Schäden verursachen kann, wenn es an der richtigen Stelle und Zeit ausgeführt wird. Schutz der Lieferkette und Priorisierung der frühen Erkennung von schädlichen Abhängigkeiten sind Handlungen, die nicht mehr für später verlassen werden können.. Die Erhaltung der Sicherheitspraktiken in der Entwicklung und in den Pipelines ist zu einem operativen Bedarf geworden, nicht zu einer Option.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...