📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram cinco caixas Rust maliciosas que se disfarçam como utilitários relacionados ao tempo para transmitir dados de arquivos .env aos atores da ameaça.
Os pacotes Rust, publicados em crates.io, estão listados abaixo -
crono_anchor
dnp3times
calibrador_tempo
calibradores de tempo
sincronização de tempo
As caixas, por Socket, representam timeapi.io e foram publicadas entre o final de fevereiro e o início de março de 2026. É avaliado como o trabalho de um único ator de ameaça com base no uso da mesma metodologia de exfiltração e do domínio semelhante ("timeapis[.]io") para esconder os dados roubados.
“Embora as caixas se apresentem como utilitários de horário local, seu comportamento principal é o roubo de credenciais e de segredos”, disse o pesquisador de segurança Kirill Boychenko. “Eles tentam coletar dados confidenciais de ambientes de desenvolvedores, principalmente arquivos .env, e exfiltrá-los para ameaçar a infraestrutura controlada por atores.”
Embora quatro dos pacotes mencionados acima exibam recursos bastante simples para exfiltrar arquivos .env, "chrono_anchor" vai um passo além ao implementar ofuscação e alterações operacionais para evitar a detecção. As caixas foram anunciadas como uma forma de calibrar a hora local sem depender do Network Time Protocol (NTP).
"Chrono_anchor" incorpora a lógica de exfiltração em um arquivo chamado "guard.rs" que é invocado a partir de uma função auxiliar de "sincronização opcional" para evitar levantar suspeitas do desenvolvedor. Ao contrário de outros malwares, o código observado neste caso não tem como objetivo configurar a persistência no host através de um serviço ou tarefa agendada.
Em vez disso, a caixa tenta exfiltrar repetidamente segredos .env sempre que o desenvolvedor de um fluxo de trabalho de Integração Contínua (CI) chama o código malicioso.
O direcionamento de arquivos .env não é acidental, pois normalmente é usado para armazenar chaves de API, tokens e outros segredos, permitindo que um invasor comprometa usuários downstream e obtenha acesso mais profundo a seus ambientes, incluindo serviços em nuvem, bancos de dados e GitHub e tokens de registro.
Embora os pacotes tenham sido removidos do crates.io, os usuários que podem tê-los baixado acidentalmente são aconselhados a assumir uma possível exfiltração, alternar chaves e tokens, auditar trabalhos de CI/CD executados com credenciais de publicação ou implantação e limitar o acesso de saída à rede sempre que possível.
“Esta campanha mostra que o malware da cadeia de suprimentos de baixa complexidade ainda pode causar alto impacto quando executado em espaços de trabalho de desenvolvedores e trabalhos de CI”, disse Socket. “Priorize controles que interrompam dependências maliciosas antes de serem executadas.”
Bot com tecnologia de IA explora ações do GitHub
A divulgação segue a descoberta de uma campanha de ataque automatizado que teve como alvo pipelines de CI/CD abrangendo os principais repositórios de código aberto, com um bot alimentado por inteligência artificial (IA) chamado hackerbot-claw escaneando repositórios públicos em busca de fluxos de trabalho exploráveis do GitHub Actions para coletar segredos do desenvolvedor.
Entre 21 e 28 de fevereiro de 2026, a conta GitHub, que se autodenominava um agente autônomo de pesquisa de segurança, teve como alvo nada menos que sete repositórios pertencentes à Microsoft, Datadog e Aqua Security, entre outros.
O ataque se desenrola da seguinte forma -
Verificar repositórios públicos em busca de pipelines de CI/CD configurados incorretamente
Bifurque o repositório de destino e prepare uma carga maliciosa
Abra uma solicitação pull com uma alteração trivial, como uma correção de erro de digitação, enquanto oculta a carga principal no nome da ramificação, no nome do arquivo ou em um script de CI
Acione o pipeline de CI aproveitando o fato de que os fluxos de trabalho são ativados automaticamente em cada solicitação pull, fazendo com que o código malicioso seja executado no servidor de compilação
Roube segredos e tokens de acesso
Um dos alvos de maior destaque do ataque foi o repositório “aquasecurity/trivy”, um popular scanner de segurança da Aqua Security que procura vulnerabilidades conhecidas, configurações incorretas e segredos.
“O Hackerbot-claw explorou um fluxo de trabalho pull_request_target para roubar um token de acesso pessoal (PAT)”, disse a empresa de segurança da cadeia de suprimentos StepSecurity. “A credencial roubada foi então usada para assumir o controle do repositório.”
Em um comunicado divulgado na semana passada, Itay Shakury da Aqua Security revelou que o invasor aproveitou o fluxo de trabalho do GitHub Actions para enviar uma versão maliciosa da extensão Visual Studio Code (VS Code) do Trivy para o registro Open VSX para aproveitar agentes de codificação de IA locais para coletar e exfiltrar informações confidenciais.
Socket, que também investigou o comprometimento da extensão, disse que a lógica injetada nas versões 1.8.12 e 1.8.13 executa assistentes de codificação de IA locais, incluindo Claude, Codex, Gemini, GitHub Copilot CLI e Kiro CLI, em modos altamente permissivos, instruindo-os a realizar extensa inspeção do sistema, gerar um relatório de informações descobertas e salvar os resultados em um repositório GitHub chamado "posture-report-trivy" usando a sessão autenticada da CLI do GitHub da própria vítima.
Os pacotes Rust, publicados em crates.io, estão listados abaixo -
crono_anchor
dnp3times
calibrador_tempo
calibradores de tempo
sincronização de tempo
As caixas, por Socket, representam timeapi.io e foram publicadas entre o final de fevereiro e o início de março de 2026. É avaliado como o trabalho de um único ator de ameaça com base no uso da mesma metodologia de exfiltração e do domínio semelhante ("timeapis[.]io") para esconder os dados roubados.
“Embora as caixas se apresentem como utilitários de horário local, seu comportamento principal é o roubo de credenciais e de segredos”, disse o pesquisador de segurança Kirill Boychenko. “Eles tentam coletar dados confidenciais de ambientes de desenvolvedores, principalmente arquivos .env, e exfiltrá-los para ameaçar a infraestrutura controlada por atores.”
Embora quatro dos pacotes mencionados acima exibam recursos bastante simples para exfiltrar arquivos .env, "chrono_anchor" vai um passo além ao implementar ofuscação e alterações operacionais para evitar a detecção. As caixas foram anunciadas como uma forma de calibrar a hora local sem depender do Network Time Protocol (NTP).
"Chrono_anchor" incorpora a lógica de exfiltração em um arquivo chamado "guard.rs" que é invocado a partir de uma função auxiliar de "sincronização opcional" para evitar levantar suspeitas do desenvolvedor. Ao contrário de outros malwares, o código observado neste caso não tem como objetivo configurar a persistência no host através de um serviço ou tarefa agendada.
Em vez disso, a caixa tenta exfiltrar repetidamente segredos .env sempre que o desenvolvedor de um fluxo de trabalho de Integração Contínua (CI) chama o código malicioso.
O direcionamento de arquivos .env não é acidental, pois normalmente é usado para armazenar chaves de API, tokens e outros segredos, permitindo que um invasor comprometa usuários downstream e obtenha acesso mais profundo a seus ambientes, incluindo serviços em nuvem, bancos de dados e GitHub e tokens de registro.
Embora os pacotes tenham sido removidos do crates.io, os usuários que podem tê-los baixado acidentalmente são aconselhados a assumir uma possível exfiltração, alternar chaves e tokens, auditar trabalhos de CI/CD executados com credenciais de publicação ou implantação e limitar o acesso de saída à rede sempre que possível.
“Esta campanha mostra que o malware da cadeia de suprimentos de baixa complexidade ainda pode causar alto impacto quando executado em espaços de trabalho de desenvolvedores e trabalhos de CI”, disse Socket. “Priorize controles que interrompam dependências maliciosas antes de serem executadas.”
Bot com tecnologia de IA explora ações do GitHub
A divulgação segue a descoberta de uma campanha de ataque automatizado que teve como alvo pipelines de CI/CD abrangendo os principais repositórios de código aberto, com um bot alimentado por inteligência artificial (IA) chamado hackerbot-claw escaneando repositórios públicos em busca de fluxos de trabalho exploráveis do GitHub Actions para coletar segredos do desenvolvedor.
Entre 21 e 28 de fevereiro de 2026, a conta GitHub, que se autodenominava um agente autônomo de pesquisa de segurança, teve como alvo nada menos que sete repositórios pertencentes à Microsoft, Datadog e Aqua Security, entre outros.
O ataque se desenrola da seguinte forma -
Verificar repositórios públicos em busca de pipelines de CI/CD configurados incorretamente
Bifurque o repositório de destino e prepare uma carga maliciosa
Abra uma solicitação pull com uma alteração trivial, como uma correção de erro de digitação, enquanto oculta a carga principal no nome da ramificação, no nome do arquivo ou em um script de CI
Acione o pipeline de CI aproveitando o fato de que os fluxos de trabalho são ativados automaticamente em cada solicitação pull, fazendo com que o código malicioso seja executado no servidor de compilação
Roube segredos e tokens de acesso
Um dos alvos de maior destaque do ataque foi o repositório “aquasecurity/trivy”, um popular scanner de segurança da Aqua Security que procura vulnerabilidades conhecidas, configurações incorretas e segredos.
“O Hackerbot-claw explorou um fluxo de trabalho pull_request_target para roubar um token de acesso pessoal (PAT)”, disse a empresa de segurança da cadeia de suprimentos StepSecurity. “A credencial roubada foi então usada para assumir o controle do repositório.”
Em um comunicado divulgado na semana passada, Itay Shakury da Aqua Security revelou que o invasor aproveitou o fluxo de trabalho do GitHub Actions para enviar uma versão maliciosa da extensão Visual Studio Code (VS Code) do Trivy para o registro Open VSX para aproveitar agentes de codificação de IA locais para coletar e exfiltrar informações confidenciais.
Socket, que também investigou o comprometimento da extensão, disse que a lógica injetada nas versões 1.8.12 e 1.8.13 executa assistentes de codificação de IA locais, incluindo Claude, Codex, Gemini, GitHub Copilot CLI e Kiro CLI, em modos altamente permissivos, instruindo-os a realizar extensa inspeção do sistema, gerar um relatório de informações descobertas e salvar os resultados em um repositório GitHub chamado "posture-report-trivy" usando a sessão autenticada da CLI do GitHub da própria vítima.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cinco #rust #crates #maliciosos #e #ai #bot #exploram #pipelines #de #ci/cd #para #roubar #segredos #do #desenvolvedor
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário