あなたの.envファイルが似たようなドメインに**流出**されており、おそらくあなた自身がcargo addを入力したのでしょう

Socket Securityが2026年2月以来crates.ioに潜んでいた悪質なRustクレート5つを発見しました - chrono_anchor、dnp3times、time_calibrator、time_calibrators、time-sync

これらはすべて時間ユーティリティのふりをしています。これらはすべてcrates.ioになりすまします。これらはすべてtimeapis[.]ioに通信します - 1文字の違いです

ペイロード全体は1つのことをします。あなたの.envファイルを読みます。すべてのシークレットを取得します。攻撃者が管理するドメインに送信します

ゼロデイではありません。カーネルエクスプロイトではありません。午前1時に考えずにcargo addするようなクレートです

> 「私の依存関係はすべて人気があり、検証されている」

これらのクレートは**信頼できるライブラリの命名パターンをまね**ています。chrono_anchorはあなたのオートコンプリートでchrono の真横に座っています。それが全体のトリックです。