Uma campanha de ataque à cadeia de suprimentos direcionada a desenvolvedores foi descoberta em 2 de março de 2026, após a identificação de código não autorizado em duas versões da extensão do Aqua Trivy para o Visual Studio Code no registro OpenVSX. As versões comprometidas, 1.8.12 e 1.8.13, foram carregadas em 27 e 28 de fevereiro sob o namespace oficial da Aqua Security. O ataque introduziu prompts de linguagem natural ocultos projetados para transformar as ferramentas de IA de codificação locais dos desenvolvedores em instrumentos silenciosos de coleta de dados.
O vetor de ataque e a exploração
O Trivy é um scanner de vulnerabilidades de código aberto amplamente utilizado, e sua extensão para VS Code é instalada por desenvolvedores em empresas e projetos individuais. Todas as versões até a 1.8.11 correspondiam ao repositório público do GitHub. No entanto, as duas versões afetadas continham código extra ausente do repositório público e sem uma release marcada, tornando a adulteração quase impossível de ser detectada em uma revisão padrão.
Pesquisadores da Socket.dev identificaram o comportamento suspeito nessas versões logo após a publicação. Sua análise vinculou o código malicioso a uma campanha mais ampla de bots alimentados por IA que visavam workflows do GitHub Actions em vários projetos de código aberto. Documentação separada da StepSecurity mostrou como essa campanha levou ao roubo de um token de acesso pessoal e à tomada do repositório GitHub do Trivy da Aqua, dando aos atacantes o acesso necessário para enviar a extensão adulterada para o OpenVSX.
Mecanismo de execução furtiva
Em vez de implantar spyware convencional ou um backdoor, o código injetado direcionava assistentes de IA instalados localmente — como Claude, Codex, Gemini, GitHub Copilot CLI e Kiro CLI — para realizar uma reconhecimento profundo na máquina do desenvolvedor. Cada ferramenta era invocada com sua flag mais permissiva, ignorando qualquer confirmação do usuário. Todos os processos rodavam em segundo plano, desacoplados e com a saída suprimida, enquanto a extensão continuava se comportando normalmente, sem deixar avisos visíveis.
O dano dependia da versão instalada. A versão 1.8.12 carregava um prompt de aproximadamente 2.000 palavras instruindo o agente de IA a agir como um investigador forense — vasculhando credenciais, tokens, registros financeiros e comunicações sensíveis, e então enviando as descobertas por todos os canais de saída disponíveis, incluindo e-mail e plataformas de mensagens. A versão 1.8.13 era mais direcionada: pedia à IA para coletar informações do sistema e tokens de autenticação, salvá-los em um arquivo REPORT.MD e usar a CLI do GitHub da vítima para enviar esse relatório para um repositório chamado 'posture-report-trivy'. Ambas as versões foram removidas do OpenVSX em 28 de fevereiro, após a divulgação da Socket.dev.
Impacto e recomendações para desenvolvedores
A técnica marca uma mudança na construção de ataques à cadeia de suprimentos. Em vez de callbacks hardcoded ou shellcode, o atacante delegou reconhecimento e exfiltração a agentes de IA confiáveis localmente, invocando-os no nível máximo de permissão e não deixando assinaturas de malware para ferramentas automatizadas detectarem.
Desenvolvedores que instalaram a versão 1.8.12 ou 1.8.13 do OpenVSX devem tomar medidas imediatas: desinstalar a extensão afetada e verificar o histórico de versões; verificar a conta do GitHub em busca de um repositório chamado 'posture-report-trivy' e revisar atividades recentes; inspecionar o histórico do shell por invocações das ferramentas de IA com flags permissivas; e rotacionar todas as credenciais acessíveis na máquina durante a janela de exposição. Uma auditoria nos logs dos agentes de IA locais também é recomendada.