可用 代码

五个恶意 Rust 包与 AI 机器人利用 CI/CD 流水线窃取开发者密钥

作者: hackernews 日期: 2026-03-12 分类: 人工智能 暂无评论
  • 浏览次数 187
  • 喜欢 0
  • 评分 12345

HackerNews 编译,转载请注明出处:

网络安全研究人员发现五个恶意 Rust 包,它们伪装成时间相关工具,将 .env 文件数据传输给威胁行为者

这些发布在 crates.io 上的 Rust 包如下:

·     chrono_anchor

·     dnp3times

·     time_calibrator

·     time_calibrators

·     time-sync

据 Socket 公司称,这些包仿冒 timeapi.io 相关功能,于 2026 年 2 月末至 3 月初发布。基于相同的数据窃取方法,以及用于存储被盗数据的相似域名(timeapis [.] io),研究人员判定这些攻击出自同一威胁行为者之手。

“尽管这些包伪装成本地时间工具,但其核心行为是窃取凭据和密钥。” 安全研究员基里尔・博伊琴科(Kirill Boychenko)表示,“它们试图从开发者环境中收集敏感数据(尤其是 .env 文件),并将数据外传到威胁行为者控制的基础设施。”

上述四个包仅具备直接窃取 .env 文件的基础能力,而 “chrono_anchor” 更进一步:通过实现混淆和操作层面的修改来规避检测。这些包对外宣传的功能是 “无需依赖网络时间协议(NTP)校准本地时间”。

“chrono_anchor” 将数据窃取逻辑嵌入名为 “guard.rs” 的文件中,通过一个 “可选同步” 辅助函数调用,以此避免引起开发者怀疑。与其他恶意软件不同,该包的代码并未试图通过服务或计划任务在主机上建立持久化,而是每当持续集成(CI)工作流的开发者调用恶意代码时,就反复尝试窃取 .env 中的密钥

针对 .env 文件的攻击并非偶然 —— 该文件通常用于存储 API 密钥、令牌等敏感信息,攻击者可借此攻陷下游用户,获得对其环境(包括云服务、数据库、GitHub 及注册表令牌)的深度访问权限。

尽管这些包已从 crates.io 下架,但研究人员建议:不慎下载过的用户需假定数据已被窃取,立即轮换密钥和令牌,审计使用发布 / 部署凭据运行的 CI/CD 任务,并尽可能限制出站网络访问。

Socket 表示:“此次攻击表明,即便低复杂度的供应链恶意软件,只要在开发者工作区和 CI 任务中运行,仍能造成高影响。应优先部署控制措施,在恶意依赖执行前阻止其运行。”

人工智能驱动的机器人利用 GitHub Actions 发起攻击

此前,研究人员还发现一场自动化攻击活动:一款名为 hackerbot-claw 的 AI 驱动机器人扫描公共代码仓库,利用存在漏洞的 GitHub Actions 工作流窃取开发者密钥,攻击目标涵盖主流开源仓库的 CI/CD 流水线。

2026 年 2 月 21 日至 28 日期间,这个自称 “自主安全研究代理” 的 GitHub 账号,攻击了至少七个归属微软、Datadog、Aqua Security 等机构的代码仓库。

攻击流程如下:

·     扫描公共仓库,寻找配置错误的 CI/CD 流水线

·     复刻(Fork)目标仓库,准备恶意载荷

·     提交包含微小修改(如拼写错误修复)的拉取请求(PR),同时将核心恶意载荷隐藏在分支名、文件名或 CI 脚本中

·     利用 “每次 PR 自动触发工作流” 的机制启动 CI 流水线,使恶意代码在构建服务器上执行

·     窃取密钥和访问令牌

此次攻击中最受关注的目标之一是 Aqua Security 旗下的 “aquasecurity/trivy” 仓库 ——Trivy 是一款主流安全扫描工具,用于检测已知漏洞、配置错误和密钥。

供应链安全公司 StepSecurity 表示:“hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌(PAT),随后用该凭据接管了整个仓库。”

Aqua Security 的伊泰・沙库里(Itay Shakury)在上周声明中透露,攻击者借助 GitHub Actions 工作流,将恶意版本的 Trivy Visual Studio Code(VS Code)扩展推送到 Open VSX 注册表,利用本地 AI 编码代理收集并窃取敏感信息。

同样参与该扩展攻击调查的 Socket 公司称,1.8.12 和 1.8.13 版本中注入的恶意逻辑,会以高权限模式运行本地 AI 编码助手(包括 Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLI),指令这些工具执行全面的系统检查、生成信息报告,并通过受害者已认证的 GitHub CLI 会话,将结果保存到名为 “posture-report-trivy” 的 GitHub 仓库。

Aqua 已从应用市场移除相关恶意制品,并吊销了用于发布的令牌。研究人员建议安装过该扩展的用户立即卸载,检查是否存在异常仓库,并轮换环境密钥;目前恶意制品已下架,未发现其他受影响制品,该事件被分配 CVE 编号 CVE-2026-28353。

需注意的是,系统受该漏洞影响需满足以下前提条件:

·     从 Open VSX 安装了 1.8.12 或 1.8.13 版本扩展

·     本地安装了至少一款目标 AI 编码 CLI 工具

·     该 CLI 接受恶意逻辑提供的高权限执行参数

·     AI 代理能够访问磁盘上的敏感数据

·     安装并认证了 GitHub CLI(针对 1.8.13 版本)

Socket 表示:“从 1.8.12 到 1.8.13 的版本迭代可见攻击者的优化:第一个版本的指令将数据分散到随机渠道,攻击者无法可靠收集输出;第二个版本则利用受害者自身的 GitHub 账号作为稳定的数据窃取渠道,但模糊的指令可能导致 AI 代理将密钥推送到攻击者无法访问的私有仓库。”

Pillar Security 评估认为,hackerbot-claw 是人类操作者借助大语言模型(LLM)作为执行层发起的攻击,并将该活动命名为 “Chaos Agent”。

安全研究员埃 ilon・科恩(Eilon Cohen)表示,此次攻击体现了 “AI 增强型攻击者快速利用 CI/CD 配置错误发起攻击”,而 Trivy VS Code 扩展的供应链攻击,标志着 AI 编码代理被滥用于数据窃取。“hackerbot-claw 攻击利用了大多数企业都未察觉的漏洞:对开发者机器上运行的 AI 编码代理完全无可见性,且这些代理被武器化时缺乏运行时控制。”

消息来源:thehackernews.com

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文