các tệp .env của bạn đang được GỬI tới một miền giả mạo và bạn có thể đã tự gõ cargo add

socket security vừa phát hiện 5 crates rust độc hại nằm trên io kể từ tháng 2 năm 2026 - chrono_anchor, dnp3times, time_calibrator, time_calibrators, time-sync

chúng đều giả vờ là các tiện ích thời gian. chúng đều mạo danh io. chúng đều kết nối tới timeapis[.]io - chỉ khác một chữ cái

toàn bộ tải trọng làm một việc. đọc tệp .env của bạn. lấy mọi bí mật trong đó. gửi tới một miền mà kẻ tấn công kiểm soát

không phải là zero day. không phải khai thác kernel. chỉ là một crate trông giống như thứ bạn sẽ cargo add lúc 1 giờ sáng mà không suy nghĩ

> "các phụ thuộc của tôi đều phổ biến và đã được kiểm chứng"

những crate này BẮCHƯ các mẫu đặt tên của các thư viện đáng tin cậy. chrono_anchor nằm ngay cạnh chrono trong tự động hoàn thành của bạn. đó là toàn bộ thủ đoạn.