Der jüngste Angriff folgt auf einen ersten Vorfall gegen Ende Februar und Anfang März 2026. Damals nutzte ein autonomer Bot namens hackerbot-claw einen “pull_request_target”-Workflow aus, um ein Personal Access Token (PAT) zu stehlen. Mit diesem Token übernahm der Angreifer die Kontrolle über das GitHub-Repository, löschte mehrere Release-Versionen und veröffentlichte zwei manipulierte Fassungen der Visual-Studio-Code-Erweiterung über Open VSX.
Das erste Anzeichen der neuen Kompromittierung meldete der Sicherheitsforscher Paul McCarty, nachdem im Repository “aquasecurity/trivy” eine manipulierte Version 0.69.4 veröffentlicht worden war. Diese Version wurde inzwischen entfernt. Laut Wiz startete Version 0.69.4 sowohl den legitimen Trivy-Dienst als auch den Schadcode.
Itay Shakury, Vice President Open Source bei Aqua Security, erklärte, die Angreifer hätten kompromittierte Zugangsdaten missbraucht, um schädliche Releases von trivy, trivy-action und setup-trivy zu veröffentlichen. Bei “aquasecurity/trivy-action” wurden 75 Versions-Tags per Force-Push auf die manipulierten Commits mit der Python-basierten Infostealer-Nutzlast umgebogen, ohne ein neues Release anzulegen oder auf einen Branch zu pushen, wie sonst üblich. Sieben Tags von “aquasecurity/setup-trivy” wurden auf dieselbe Weise überschrieben.
“In diesem Fall musste der Angreifer Git selbst nicht ausnutzen”, sagte Burckhardt gegenüber The Hacker News. Er habe über gültige Zugangsdaten mit ausreichenden Rechten verfügt, um Code zu pushen und Tags umzuschreiben – genau das habe die beobachtete Tag-Vergiftung ermöglicht. Unklar bleibe, welches Token genau verwendet wurde; die eigentliche Ursache sei aber eine aus dem früheren Vorfall fortgetragene Kompromittierung von Zugangsdaten.
Aqua Security räumte ein, dass der neue Angriff auf eine unvollständige Eindämmung des hackerbot-claw-Vorfalls zurückgehe. “Wir haben Geheimnisse und Token rotiert, aber der Prozess war nicht atomar, und die Angreifer könnten Kenntnis von den erneuerten Token gehabt haben”, so Shakury. Man verfolge nun einen restriktiveren Ansatz und sperre alle automatisierten Aktionen sowie sämtliche Token.
Der Stealer arbeitet in drei Phasen: Zunächst sammelt er Umgebungsvariablen aus dem Arbeitsspeicher des Runner-Prozesses und dem Dateisystem, dann verschlüsselt er die Daten und exfiltriert sie schließlich an einen vom Angreifer kontrollierten Server (“scan.aquasecurtiy[.]org”). Schlägt die Exfiltration fehl, wird das GitHub-Konto des Opfers missbraucht, um die gestohlenen Daten über das erfasste INPUT_GITHUB_PAT in einem öffentlichen Repository namens “tpcp-docs” abzulegen.
Wer hinter dem Angriff steckt, ist bislang nicht geklärt. Es gibt Hinweise auf die als TeamPCP bekannte Gruppe, da sich der Credential-Harvester im Quellcode selbst als “TeamPCP Cloud stealer” bezeichnet. Die Gruppe, auch bekannt als DeadCatx3, PCPcat, PersyPCP, ShellForce und CipherForce, gilt als cloud-native Cybercrime-Plattform für Datendiebstahl und Erpressung. Socket merkt an, der starke Fokus auf Solana-Validator-Schlüsselpaare und Kryptowährungs-Wallets sei als TeamPCP-Merkmal weniger gut dokumentiert; die Selbstbezeichnung könne eine falsche Fährte sein, doch die technischen Überschneidungen mit früheren TeamPCP-Werkzeugen machten eine Zuordnung plausibel.
Nutzern wird geraten, auf die aktuellen sicheren Releases umzustellen. Wer eine kompromittierte Version eingesetzt hat, soll alle Pipeline-Geheimnisse als kompromittiert behandeln und sofort rotieren. Als weitere Maßnahmen nennt Shakury das Blockieren der Exfiltrationsdomain und der zugehörigen IP-Adresse (45.148.10[.]212) auf Netzwerkebene sowie die Prüfung von GitHub-Konten auf Repositories namens “tpcp-docs”, die auf eine erfolgreiche Exfiltration hindeuten können. Wiz-Forscher Rami McCarthy empfiehlt zudem, GitHub Actions an vollständige SHA-Hashes statt an Versions-Tags zu binden, da Tags – wie dieser Angriff zeigt – auf schädliche Commits umgelenkt werden können.
