Five Malicious Rust Crates and AI Bot Exploit CI/CD Pipelines to Steal Developer Secrets

1 minute de lecture

Mis à jour : March 11, 2026

Menaces émergentes : Attaques sur la Supply Chain et Agents IA

De récentes campagnes d’attaques ciblent les environnements de développement et les pipelines CI/CD via des paquets malveillants et l’exploitation automatisée de workflows GitHub.

Points clés :

Paquets Rust malveillants : Cinq paquets (chrono_anchor, dnp3times, time_calibrator, time_calibrators, time-sync) usurpant des outils de synchronisation temporelle ont été utilisés pour exfiltrer des fichiers .env contenant des secrets (clés API, jetons).
Exploitation automatisée : Un bot nommé “hackerbot-claw” scanne les dépôts publics pour exploiter des configurations CI/CD vulnérables, injectant du code malveillant via des pull requests pour détourner des jetons d’accès.
Détournement d’extension VS Code : Le scanner de sécurité Trivy a été compromis via une version malveillante de son extension, utilisant des agents IA locaux (Copilot, Claude, etc.) pour inspecter le système de la victime et exfiltrer des données vers un dépôt GitHub contrôlé par l’attaquant.

Vulnérabilités :

CVE-2026-28353 : Compromission de l’extension VS Code Trivy (versions 1.8.12 et 1.8.13).
Configuration CI/CD : Utilisation abusive de workflows pull_request_target pour exécuter du code arbitraire sur les serveurs de build.

Recommandations :

Rotation immédiate : En cas d’exposition suspectée, révoquer et renouveler systématiquement toutes les clés API, jetons d’accès et mots de passe présents dans les fichiers .env ou utilisés dans les environnements CI/CD.
Audit et contrôle : Vérifier les jobs CI/CD pour détecter des comportements anormaux, restreindre l’accès réseau sortant des environnements de build et auditer les extensions installées.
Sécurisation des outils IA : Appliquer des contrôles d’exécution stricts sur les agents de codage IA, en limitant leurs permissions d’inspection système et leurs capacités de lecture/écriture sur les fichiers sensibles.
Gestion des dépendances : Mettre en œuvre des outils de blocage des dépendances malveillantes avant leur exécution (ex: analyse de réputation des paquets).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Five Malicious Rust Crates and AI Bot Exploit CI/CD Pipelines to Steal Developer Secrets

Menaces émergentes : Attaques sur la Supply Chain et Agents IA

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows