Sicherheitsforscher haben fünf bösartige Rust-Crates identifiziert, die sich als Zeit-Dienstprogramme tarnen und Daten aus .env-Dateien an Angreifer übermitteln. Diese auf crates.io veröffentlichten Pakete wurden zwischen Ende Februar und März 2026 hochgeladen und stammen nach Einschätzung des Sicherheitsunternehmens Socket von einem einzelnen Bedrohungsakteur, was sich an der identischen Exfiltrationsmethode und der ähnlichen Domain “timeapis[.]io” zeigt.
“Obwohl sich diese Crates als lokale Zeit-Utilities ausgeben, sind sie tatsächlich auf Credential- und Secret-Theft ausgerichtet”, erklärt Sicherheitsforscher Kirill Boychenko. “Sie versuchen, sensible Daten aus Entwicklungsumgebungen, insbesondere .env-Dateien, zu erfassen und an die Infrastruktur der Angreifer zu übermitteln.”
Während vier der Pakete relativ einfache Exfiltrationsfunktionen aufweisen, implementiert “chrono_anchor” zusätzliche Obfuskation und operative Änderungen zur Vermeidung von Erkennungsmechanismen. Die Crates wurden als Werkzeuge zur Kalibrierung der Systemzeit ohne Abhängigkeit vom Network Time Protocol (NTP) bewworben.
“Chrono_anchor” versteckt die Exfiltrationslogik in einer Datei namens “guard.rs”, die von einer “optionalen Sync”-Hilfsfunktion aufgerufen wird, um keine Aufmerksamkeit von Entwicklern zu erregen. Im Gegensatz zu anderen Malware-Varianten zielt dieser Code nicht darauf ab, Persistenz durch Services oder geplante Aufgaben zu etablieren. Stattdessen versucht das Paket, jedes Mal .env-Geheimnisse zu exfiltrieren, wenn ein Entwickler den bösartigen Code in einem CI-Workflow aufruft.
Die Ausrichtung auf .env-Dateien ist kein Zufall, da diese typischerweise API-Schlüssel, Tokens und andere Geheimnisse enthalten. Dies ermöglicht es Angreifern, nachgelagerte Benutzer zu kompromittieren und tieferen Zugriff auf Umgebungen, Cloud-Services, Datenbanken, GitHub und Registry-Tokens zu erlangen.
Die Pakete wurden inzwischen von crates.io entfernt. Nutzer, die diese möglicherweise versehentlich heruntergeladen haben, sollten von einer möglichen Exfiltration ausgehen, alle Schlüssel und Tokens rotieren, CI/CD-Jobs mit Publish- oder Deploy-Credentials prüfen und ausgehende Netzwerkzugriffe soweit möglich einschränken.
“Diese Kampagne zeigt, dass auch einfache Supply-Chain-Malware massive Auswirkungen haben kann, wenn sie in Entwickler-Workspaces und CI-Jobs ausgeführt wird”, betont Socket. “Implementieren Sie Kontrollen, die bösartige Abhängigkeiten blockieren, bevor sie ausgeführt werden.”
Zur gleichen Zeit entdeckten Forscher eine automatisierte Angriffskampagne gegen CI/CD-Pipelines größerer Open-Source-Repositories. Ein KI-gesteuerter Bot namens “hackerbot-claw” scannte öffentliche Repositories nach verwundbaren GitHub-Actions-Workflows, um Entwickler-Geheimnisse zu exfiltrieren.
Zwischen dem 21. und 28. Februar 2026 zielte das GitHub-Konto, das sich als autonome Sicherheitsforschungs-Agent beschrieb, auf mindestens sieben Repositories von Microsoft, Datadog und Aqua Security ab.
Eines der prominentesten Angriffsziele war das Repository “aquasecurity/trivy”, ein beliebter Security Scanner von Aqua Security zur Suche nach bekannten Schwachstellen, Fehlkonfigurationen und Geheimnissen.
“Hackerbot-claw exploitierte einen pull_request_target-Workflow, um ein Personal Access Token (PAT) zu stehlen”, erklärt das Supply-Chain-Security-Unternehmen StepSecurity. “Das gestohlene Credential wurde dann verwendet, um das Repository zu übernehmen.”
Aqua-Security-Mitarbeiter Itay Shakury offenbarte, dass der Angreifer den GitHub-Actions-Workflow nutzte, um eine bösartige Version der Trivy-VS-Code-Erweiterung in die Open-VSX-Registry zu pushen und lokale KI-Code-Assistenten zu missbrauchen, um sensitive Informationen zu sammeln und zu exfiltrieren.
Socket untersuchte ebenfalls das Erweiterungs-Kompromittierungen und entdeckte, dass die injizierte Logik in den Versionen 1.8.12 und 1.8.13 lokale KI-Code-Assistenten wie Claude, Codex, Gemini, GitHub Copilot CLI und Kiro CLI in hochgradig permissiven Modi ausführt. Sie werden angewiesen, umfangreiche Systemprüfungen durchzuführen, einen Bericht der entdeckten Informationen zu erstellen und die Ergebnisse mithilfe der authentifizierten GitHub-CLI-Sitzung des Opfers in einem Repository namens “posture-report-trivy” zu speichern.
Aqua hat die Artefakte inzwischen aus dem Marketplace entfernt und den Token zur Veröffentlichung widerrufen. Benutzer, die die Erweiterungen installiert haben, sollten diese sofort deinstallieren, auf unerwartete Repositories überprüfen und Umgebungs-Geheimnisse rotieren. Der Vorfall wird unter der CVE-Kennung CVE-2026-28353 nachverfolgt.
“Die Progression von Version .12 zu .13 sieht nach Iteration aus”, bemerkt Socket. “Die erste Prompt verstreut Daten über zufällige Kanäle ohne zuverlässige Exfiltrationsmöglichkeit. Die zweite behebt dieses Problem, indem sie das eigene GitHub-Konto des Opfers als sauberen Exfiltrations-Kanal nutzt, aber die vagen Anweisungen könnten dazu führen, dass der Agent Geheimnisse in ein privates Repo pusht, das der Angreifer nicht einsehen kann.”