Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
Cinq caisses Rust malveillantes et un robot IA exploitent les pipelines CI/CD pour voler les secrets des développeurs
The Hacker News - TheHackerNews -
11/03
Cinq caisses Rust malveillantes et un robot IA ont exploité des pipelines CI/CD et des actions GitHub en février 2026, volant des secrets et des jetons de développeur.
Les chercheurs en cybersécurité ont découvert cinq caisses Rust malveillantes qui se font passer pour des utilitaires temporels permettant de transmettre les données des fichiers .env aux acteurs malveillants.
Les packages Rust, publiés sur crates.io, sont répertoriés ci-dessous -
chrono_ancre
dnp3 fois
time_calibrator
time_calibrators
synchronisation temporelle
Les caisses, selon Socket, usurpent l'identité de timeapi.io et ont été publiées entre fin février et début mars 2026. Il est estimé qu'il s'agit du travail d'un seul acteur malveillant basé sur l'utilisation de la même méthodologie d'exfiltration et du domaine similaire (« timeapis[.]io ») pour cacher les données volées.
"Bien que les caisses se présentent comme des utilitaires d'heure locale, leur comportement principal est le vol d'informations d'identification et de secrets", a déclaré le chercheur en sécurité Kirill Boychenko. "Ils tentent de collecter des données sensibles provenant des environnements de développement, notamment les fichiers .env, et de les exfiltrer vers une infrastructure contrôlée par les acteurs malveillants."
Alors que quatre des ... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité