你的 .env 文件正被传送到一个类似的域名，你可能是自己输入了 cargo add

socket security 刚刚发现自2026年2月以来，有5个恶意的 rust crate 位于 io 上——chrono_anchor、dnp3times、time_calibrator、time_calibrators、time-sync

它们都伪装成时间工具。它们都冒充 io。它们都会回拨到 timeapis[.]io——只差一个字母

整个载荷只做一件事。读取你的 .env 文件。获取其中的每个秘密。然后将其发送到攻击者控制的域名

这不是零日漏洞，也不是内核漏洞。只是一种看起来像你在凌晨1点会随意添加的 crate

> “我的依赖都很流行且经过验证”

这些 crate 模仿受信任库的命名模式。chrono_anchor 就在你自动补全的 chrono 旁边。这就是整个把戏。