Дослідники Socket та The Hacker News виявили п’ять шкідливих Rust-пакетів на crates io: chrono_anchor, dnp3times, time_calibrator, time_calibrators та time-sync. Опубліковані наприкінці лютого – початку березня 2026, вони маскувалися під утиліти для роботи з часом, імітуючи сервіс timeapi io, але використовували фейковий домен timeapis[.]io для відправки даних.

Пакети шукали та викрадали вміст .env-файлів (API-ключі, токени GitHub, паролі, креденшали хмар), надсилаючи їх на сервер зловмисника через POST-запити. Більшість мали одну версію та швидко видалені з реєстру після виявлення. Навіть кілька установок могли призвести до компрометації CI/CD, репозиторіїв чи хмарних акаунтів — класична supply chain атака. Це серйозна загроза для Rust-розробників, бо витік секретів — один з найпоширеніших шляхів до повної компрометації проєктів.