HackerNews 编译，转载请注明出处： 网络安全研究人员发现五个恶意 Rust 包，它们伪装成时间相关工具，将 .env 文件数据传输给威胁行为者。 这些发布在 crates.io 上的 Rust 包如下： ·     chrono_anchor ·     dnp3times ·     time_calibrator ·     time_calibrators ·     time-sync 据 Socket 公司称，这些包仿冒 timeapi.io 相关功能，于 2026 年 2 月末至 3 月初发布。基于相同的数据窃取方法，以及用于存储被盗数据的相似域名（timeapis [.] io），研究人员判定这些攻击出自同一威胁行为者之手。 “尽管这些包伪装成本地时间工具，但其核心行为是窃取凭据和密钥。” 安全研究员基里尔・博伊琴科（Kirill Boychenko）表示，“它们试图从开发者环境中收集敏感数据（尤其是 .env 文件），并将数据外传到威胁行为者控制的基础设施。” 上述四个包仅具备直接窃取 .env 文件的基础能力，而 “chrono_anchor” 更进一步：通过实现混淆和操作层面的修改来规避检测。这些包对外宣传的功能是 “无需依赖网络时间协议（NTP）校准本地时间”。 “chrono_anchor” 将数据窃取逻辑嵌入名为 “guard.rs” 的文件中，通过一个 “可选同步” 辅助函数调用，以此避免引起开发者怀疑。与其他恶意软件不同，该包的代码并未试图通过服务或计划任务在主机上建立持久化，而是每当持续集成（CI）工作流的开发者调用恶意代码时，就反复尝试窃取 .env 中的密钥。 针对 .env 文件的攻击并非偶然 —— 该文件通常用于存储 API 密钥、令牌等敏感信息，攻击者可借此攻陷下游用户，获得对其环境（包括云服务、数据库、GitHub 及注册表令牌）的深度访问权限。 尽管这些包已从 crates.io 下架，但研究人员建议：不慎下载过的用户需假定数据已被窃取，立即轮换密钥和令牌，审计使用发布 / 部署凭据运行的 CI/CD 任务，并尽可能限制出站网络访问。 Socket 表示：“此次攻击表明，即便低复杂度的供应链恶意软件，只要在开发者工作区和 CI 任务中运行，仍能造成高影响。应优先部署控制措施，在恶意依赖执行前阻止其运行。” 人工智能驱动的机器人利用 GitHub Actions 发起攻击 此前，研究人员还发现一场自动化攻击活动：一款名为 hackerbot-claw 的 AI 驱动机器人扫描公共代码仓库，利用存在漏洞的 GitHub Actions 工作流窃取开发者密钥，攻击目标涵盖主流开源仓库的 CI/CD 流水线。 2026 年 2 月 21 日至 28 日期间，这个自称 “自主安全研究代理” 的 GitHub 账号，攻击了至少七个归属微软、Datadog、Aqua Security 等机构的代码仓库。 攻击流程如下： ·     扫描公共仓库，寻找配置错误的 CI/CD 流水线 ·     复刻（Fork）目标仓库，准备恶意载荷 ·     提交包含微小修改（如拼写错误修复）的拉取请求（PR），同时将核心恶意载荷隐藏在分支名、文件名或 CI 脚本中 ·     利用 “每次 PR 自动触发工作流” 的机制启动 CI 流水线，使恶意代码在构建服务器上执行 ·     窃取密钥和访问令牌 此次攻击中最受关注的目标之一是 Aqua Security 旗下的 “aquasecurity/trivy” 仓库 ——Trivy 是一款主流安全扫描工具，用于检测已知漏洞、配置错误和密钥。 供应链安全公司 StepSecurity 表示：“hackerbot-claw 利用 pull_request_target 工作流窃取了个人访问令牌（PAT），随后用该凭据接管了整个仓库。” Aqua Security 的伊泰・沙库里（Itay Shakury）在上周声明中透露，攻击者借助 GitHub Actions 工作流，将恶意版本的 Trivy Visual Studio Code（VS Code）扩展推送到 Open VSX 注册表，利用本地 AI 编码代理收集并窃取敏感信息。 同样参与该扩展攻击调查的 Socket 公司称，1.8.12 和 1.8.13 版本中注入的恶意逻辑，会以高权限模式运行本地 AI 编码助手（包括 Claude、Codex、Gemini、GitHub Copilot CLI、Kiro CLI），指令这些工具执行全面的系统检查、生成信息报告，并通过受害者已认证的 GitHub CLI 会话，将结果保存到名为 “posture-report-trivy” 的 GitHub 仓库。 Aqua 已从应用市场移除相关恶意制品，并吊销了用于发布的令牌。研究人员建议安装过该扩展的用户立即卸载，检查是否存在异常仓库，并轮换环境密钥；目前恶意制品已下架，未发现其他受影响制品，该事件被分配 CVE 编号 CVE-2026-28353。 需注意的是，系统受该漏洞影响需满足以下前提条件： ·     从 Open VSX 安装了 1.8.12 或 1.8.13 版本扩展 ·     本地安装了至少一款目标 AI 编码 CLI 工具 ·     该 CLI 接受恶意逻辑提供的高权限执行参数 ·     AI 代理能够访问磁盘上的敏感数据 ·     安装并认证了 GitHub CLI（针对 1.8.13 版本） Socket 表示：“从 1.8.12 到 1.8.13 的版本迭代可见攻击者的优化：第一个版本的指令将数据分散到随机渠道，攻击者无法可靠收集输出；第二个版本则利用受害者自身的 GitHub 账号作为稳定的数据窃取渠道，但模糊的指令可能导致 AI 代理将密钥推送到攻击者无法访问的私有仓库。” Pillar Security 评估认为，hackerbot-claw 是人类操作者借助大语言模型（LLM）作为执行层发起的攻击，并将该活动命名为 “Chaos Agent”。 安全研究员埃 ilon・科恩（Eilon Cohen）表示，此次攻击体现了 “AI 增强型攻击者快速利用 CI/CD 配置错误发起攻击”，而 Trivy VS Code 扩展的供应链攻击，标志着 AI 编码代理被滥用于数据窃取。“hackerbot-claw 攻击利用了大多数企业都未察觉的漏洞：对开发者机器上运行的 AI 编码代理完全无可见性，且这些代理被武器化时缺乏运行时控制。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌披露，随着 Android 系统持续采用 Rust 编程语言，内存安全漏洞数量占总漏洞的比例首次降至 20% 以下。 “我们采用 Rust 是看中其安全性，相比 Android 中的 C 和 C++ 代码，Rust 代码的内存安全漏洞密度降低了 1000 倍。但最令人意外的是 Rust 对软件交付的影响，” 谷歌的杰夫・范德・斯托普表示，“Rust 代码修改的回滚率降低了 4 倍，代码审查时间缩短了 25%，如今更安全的开发方式同时也是更高效的方式。” 此前一年多，这家科技巨头曾披露，向 Rust 语言转型已促使内存安全漏洞数量从 2019 年的 223 个降至 2024 年的不足 50 个。 谷歌指出，Rust 代码所需的修订次数更少，相比 C++ 代码减少约 20%，且回滚率降低，从而提升了整体开发吞吐量。 谷歌还表示，计划将 Rust 的 “安全性和生产力优势” 扩展到 Android 生态系统的其他部分，包括内核、固件以及核心第一方应用（如 Nearby Presence、消息层安全协议 MLS 和 Chromium 浏览器）。目前 Chromium 中 PNG、JSON 和网页字体的解析器已替换为 Rust 编写的内存安全实现版本。 此外，谷歌强调需采取深度防御策略，称 Rust 语言内置的内存安全特性只是全面内存安全战略的一部分。 作为例证，谷歌提到其在 CrabbyAVIF 中发现了一个内存安全漏洞（CVE-2025-48530，CVSS 评分 8.1）。CrabbyAVIF 是一个用不安全 Rust 编写的 AVIF（AV1 图像文件）解析器 / 解码器，该漏洞可能导致远程代码执行。尽管这一线性缓冲区溢出漏洞从未进入公开版本，但谷歌已在 2025 年 8 月的 Android 安全更新中修复了该问题。 对这一 “险些泄露” 的漏洞进一步分析发现，Android 中的动态用户态内存分配器 Scudo 使其无法被利用。Scudo 旨在对抗堆相关漏洞（如缓冲区溢出、释放后使用和双重释放），且不影响性能。 谷歌强调，不安全 Rust “本身已相当安全”，其漏洞密度远低于 C 和 C++，且 Rust 中的 “不安全” 代码块并不会自动禁用该语言的安全检查。 “尽管 C 和 C++ 仍将继续存在，软件和硬件安全机制对于分层防御也至关重要，但向 Rust 转型是一种不同的方式 —— 事实证明，更安全的开发路径同时也是更高效的路径。” 谷歌表示。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码，安全分析师警告，该恶意软件已被积极用于攻击。 该恶意软件的开发者称，仅用6个小时就开发完成，相当隐蔽，VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust（一种跨平台语言）编写的，可在多个操作系统使用。从其当前的使用范围看，它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂，所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样，并将其命名为 “Luca Stealer”。 采样报告显示，Luca Stealer具有明显的恶意功能，当执行时，它试图从30个基于Chromium的网络浏览器中窃取数据，它将窃取存储的信用卡、登录凭证和cookies等信息；它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比，Luca Stealer是密码管理器浏览器插件，可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图，将其保存为.png文件，执行 “whoami”对主机系统进行剖析，并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能，该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍，被盗数据通过Discord webhooks或Telegram bots渗出，具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者，以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中，并附有所包含内容的摘要，方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称，目前发现了至少25例Luca Stealer的在野利用，虽然源代码已被公布，但它是否会大规模部署还不得而知。但由于其源代码是免费公布，可能成为其滥用原因之一。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340119.html 封面来源于网络，如有侵权请联系删除