Vijf kwaadaardige roestkratten en AI Bot exploiteren CI/CD-pijplijnen om ontwikkelaarsgeheimen te stelen

Cyberbeveiliging
Vijf kwaadaardige roestkratten en AI Bot exploiteren CI/CD-pijplijnen om ontwikkelaarsgeheimen te stelen

Cybersecurity-onderzoekers hebben vijf kwaadaardige Rust-kratten ontdekt die zich voordoen als tijdgerelateerde hulpprogramma’s om .env-bestandsgegevens naar de bedreigingsactoren te verzenden.

De Rust-pakketten, gepubliceerd op kratten.io, staan ​​hieronder vermeld –

  • chrono_anker
  • dnp3 keer
  • tijdkalibrator
  • tijdkalibrators
  • tijdsynchronisatie

De kratten imiteren volgens Socket timeapi.io en zijn gepubliceerd tussen eind februari en begin maart 2026. Er wordt aangenomen dat het het werk is van één enkele bedreigingsacteur, gebaseerd op het gebruik van dezelfde exfiltratiemethodologie en het lookalike-domein (“timeapis(.)io”) om de gestolen gegevens op te slaan.

“Hoewel de kratten zich voordoen als lokale tijdhulpmiddelen, is hun kerngedrag identiteits- en geheime diefstal”, zei beveiligingsonderzoeker Kirill Boychenko. “Ze proberen gevoelige gegevens uit ontwikkelaarsomgevingen te verzamelen, met name .env-bestanden, en deze te exfiltreren om door actoren gecontroleerde infrastructuur te bedreigen.”

Hoewel vier van de bovengenoemde pakketten redelijk eenvoudige mogelijkheden vertonen om .env-bestanden te exfiltreren, gaat “chrono_anchor” een stap verder door verduistering en operationele veranderingen door te voeren om detectie te voorkomen. De kratten werden geadverteerd als een manier om de lokale tijd te kalibreren zonder afhankelijk te zijn van het Network Time Protocol (NTP).

“Chrono_anchor” bevat de exfiltratielogica in een bestand met de naam “guard.rs” dat wordt aangeroepen vanuit een “optionele synchronisatie”-helperfunctie om te voorkomen dat er vermoedens bij ontwikkelaars ontstaan. In tegenstelling tot andere malware is de in dit geval waargenomen code niet bedoeld om persistentie op de host in te stellen via een service of geplande taak.

In plaats daarvan probeert de krat herhaaldelijk .env-geheimen te exfiltreren telkens wanneer de ontwikkelaar van een Continuous Integration (CI)-workflow de kwaadaardige code aanroept.

Het aanvallen van .env-bestanden is geen toeval, omdat het doorgaans wordt gebruikt om API-sleutels, tokens en andere geheimen te bewaren, waardoor een aanvaller downstream-gebruikers kan compromitteren en diepere toegang kan krijgen tot hun omgevingen, inclusief cloudservices, databases en GitHub- en registertokens.

Hoewel de pakketten sindsdien zijn verwijderd van kratten.io, wordt gebruikers die ze mogelijk per ongeluk hebben gedownload, geadviseerd om uit te gaan van mogelijke exfiltratie, sleutels en tokens te roteren, CI/CD-taken te controleren die worden uitgevoerd met publicatie- of implementatiereferenties, en uitgaande netwerktoegang waar mogelijk te beperken.

“Deze campagne laat zien dat supply chain-malware met een lage complexiteit nog steeds een grote impact kan hebben als deze binnen ontwikkelaarswerkruimten en CI-banen draait”, aldus Socket. “Geef prioriteit aan controles die kwaadaardige afhankelijkheden tegenhouden voordat ze worden uitgevoerd.”

AI-aangedreven bot maakt gebruik van GitHub-acties

De onthulling volgt op de ontdekking van een geautomatiseerde aanvalscampagne die zich richtte op CI/CD-pijplijnen die grote open-source repository’s omspannen, waarbij een door kunstmatige intelligentie (AI) aangedreven bot genaamd hackerbot-claw openbare repository’s scant op exploiteerbare GitHub Actions-workflows om ontwikkelaarsgeheimen te verzamelen.

Tussen 21 en 28 februari 2026 richtte het GitHub-account, dat zichzelf omschreef als een autonome beveiligingsonderzoeksagent, zich op niet minder dan zeven repository’s van onder meer Microsoft, Datadog en Aqua Security.

De aanval verloopt als volgt:

  • Scan openbare opslagplaatsen op verkeerd geconfigureerde CI/CD-pijplijnen
  • Fork de doelrepository en bereid een kwaadaardige lading voor
  • Open een pull-aanvraag met een triviale wijziging, zoals een typfout, terwijl u de belangrijkste payload verbergt in de vertakkingsnaam, bestandsnaam of een CI-script
  • Activeer de CI-pijplijn door te profiteren van het feit dat workflows automatisch worden geactiveerd bij elke pull-request, waardoor de kwaadaardige code wordt uitgevoerd op de build-server
  • Steel geheimen en toegangstokens

Een van de meest opvallende doelwitten van de aanval was de repository ‘aquasecurity/trivy’, een populaire beveiligingsscanner van Aqua Security die zoekt naar bekende kwetsbaarheden, verkeerde configuraties en geheimen.

“Hackerbot-claw heeft een pull_request_target-workflow misbruikt om een ​​Personal Access Token (PAT) te stelen”, aldus supply chain-beveiligingsbedrijf StepSecurity. “De gestolen inloggegevens werden vervolgens gebruikt om de repository over te nemen.”

In een vorige week uitgegeven verklaring onthulde Itay Shakury van Aqua Security dat de aanvaller de GitHub Actions-workflow gebruikte om een ​​kwaadaardige versie van Trivy’s Visual Studio Code (VS Code)-extensie naar het Open VSX-register te pushen om lokale AI-coderingsmiddelen te gebruiken om gevoelige informatie te verzamelen en te exfiltreren.

Socket, die ook het extensiecompromis onderzocht, zei dat de geïnjecteerde logica in versies 1.8.12 en 1.8.13 lokale AI-coderingsassistenten, waaronder Claude, Codex, Gemini, GitHub Copilot CLI en Kiro CLI, in zeer tolerante modi uitvoert, waarbij ze worden geïnstrueerd om uitgebreide systeeminspectie uit te voeren, een rapport van ontdekte informatie te genereren en de resultaten op te slaan in een GitHub-repository met de naam “posture-report-trivy” met behulp van de de eigen geverifieerde GitHub CLI-sessie van het slachtoffer.

Aqua heeft sindsdien de artefacten van de markt verwijderd en het token ingetrokken dat werd gebruikt om ze te publiceren. Gebruikers die de extensies hebben geïnstalleerd, wordt geadviseerd deze onmiddellijk te verwijderen, te controleren op de aanwezigheid van onverwachte opslagplaatsen en omgevingsgeheimen te rouleren. Het kwaadaardige artefact is verwijderd. Er zijn geen andere getroffen artefacten geïdentificeerd. Het incident wordt gevolgd onder de CVE-identificatiecode CVE-2026-28353.

Het is de moeite waard erop te wijzen dat voordat een systeem door het probleem wordt getroffen, aan de volgende voorwaarden moet worden voldaan:

  • Versie 1.8.12 of 1.8.13 is geïnstalleerd vanaf Open VSX
  • Ten minste één van de beoogde AI-coderings-CLI’s is lokaal geïnstalleerd
  • De CLI accepteerde de opgegeven uitvoeringsvlaggen
  • De agent had toegang tot gevoelige gegevens op schijf
  • De GitHub CLI is geïnstalleerd en geverifieerd (voor versie 1.8.13)

“De progressie van .12 naar .13 lijkt op een iteratie”, zei Socket. “De eerste prompt verspreidt gegevens over willekeurige kanalen zonder dat de aanvaller op een betrouwbare manier de uitvoer kan verzamelen. De tweede lost dat probleem op door het eigen GitHub-account van het slachtoffer te gebruiken als een schoon exfiltratiekanaal, maar de vage instructies kunnen ervoor zorgen dat de agent geheimen naar een privéopslagplaats stuurt die de aanvaller niet kan zien.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

APT28 gebruikt BEARDSHELL- en COVENANT-malware om Oekraïens leger te bespioneren

Microsoft repareert 84 fouten in maart-patchdinsdag, inclusief twee openbare Zero-Days

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]