Vier der fünf Pakete besitzen laut Socket eine vergleichsweise simple Funktion: Sie lesen .env-Dateien aus und senden sie an Infrastruktur unter Kontrolle der Angreifer. Das fünfte, “chrono_anchor”, geht weiter und setzt Verschleierung sowie operative Anpassungen ein, um einer Entdeckung zu entgehen. Die Exfiltrationslogik steckt in einer Datei namens “guard.rs”, die über eine als “optional sync” bezeichnete Hilfsfunktion aufgerufen wird, um keinen Verdacht zu wecken.

Anders als andere Schadsoftware versucht der Code nicht, sich über einen Dienst oder eine geplante Aufgabe dauerhaft auf dem Host einzunisten. Stattdessen exfiltriert das Crate die Geheimnisse aus den .env-Dateien wiederholt – jedes Mal, wenn der Entwickler eines Continuous-Integration-Workflows den bösartigen Code aufruft. Der Fokus auf .env-Dateien ist kein Zufall: Dort liegen üblicherweise API-Schlüssel, Tokens und andere Geheimnisse, die einem Angreifer tieferen Zugang zu Cloud-Diensten, Datenbanken sowie GitHub- und Registry-Tokens eröffnen.

Die Pakete wurden inzwischen von crates.io entfernt. Nutzern, die sie versehentlich heruntergeladen haben, rät Socket, von einer möglichen Exfiltration auszugehen, Schlüssel und Tokens zu rotieren, CI/CD-Jobs mit Veröffentlichungs- oder Deploy-Rechten zu prüfen und ausgehenden Netzwerkverkehr nach Möglichkeit zu begrenzen. Die Kampagne zeige, so Socket, dass auch wenig komplexe Supply-Chain-Malware große Wirkung entfalten könne, wenn sie in Entwickler-Workspaces und CI-Jobs laufe.

Parallel dazu wurde eine automatisierte Kampagne gegen CI/CD-Pipelines großer Open-Source-Projekte bekannt. Zwischen dem 21. und 28. Februar 2026 nahm ein GitHub-Konto, das sich als autonomer Sicherheitsforschungs-Agent beschrieb, mindestens sieben Repositories ins Visier, darunter solche von Microsoft, Datadog und Aqua Security. Eines der prominentesten Ziele war “aquasecurity/trivy”, ein verbreiteter Sicherheitsscanner von Aqua Security.

Nach Angaben des Supply-Chain-Sicherheitsunternehmens StepSecurity nutzte hackerbot-claw einen “pull_request_target”-Workflow aus, um ein Personal Access Token (PAT) zu stehlen, mit dem anschließend das Repository übernommen wurde. Itay Shakury von Aqua Security erklärte, der Angreifer habe über den GitHub-Actions-Workflow eine bösartige Version der Trivy-Erweiterung für Visual Studio Code in die Open-VSX-Registry gepusht, um lokale KI-Coding-Agenten zum Sammeln und Abgreifen sensibler Daten zu missbrauchen.

Socket, das die Kompromittierung der Erweiterung ebenfalls untersuchte, fand in den Versionen 1.8.12 und 1.8.13 eingeschleuste Logik, die lokale KI-Coding-Assistenten – darunter Claude, Codex, Gemini, GitHub Copilot CLI und Kiro CLI – in stark freizügigen Modi ausführt. Diese werden angewiesen, das System umfassend zu inspizieren, einen Bericht über die gefundenen Informationen zu erstellen und ihn über die authentifizierte GitHub-CLI-Sitzung des Opfers in einem Repository namens “posture-report-trivy” zu speichern.

Aqua hat die Artefakte aus dem Marktplatz entfernt und das zur Veröffentlichung genutzte Token widerrufen; weitere betroffene Artefakte wurden nicht gefunden. Nutzer, die die Erweiterungen installiert haben, sollten diese umgehend entfernen, nach unerwarteten Repositories suchen und ihre Geheimnisse rotieren. Der Vorfall wird unter der Kennung CVE-2026-28353 geführt. Der Übergang von Version .12 zu .13 wirke laut Socket wie eine Iteration: Die erste Variante streute die Daten ohne verlässlichen Rückkanal über zufällige Kanäle, die zweite nutzte das GitHub-Konto des Opfers als saubereren Exfiltrationsweg.