Trivy Supply Chain Attack

**Der beliebte Security-Scanner Trivy wurde Opfer eines Supply-Chain-Angriffs – betroffen sind Docker-Images, GitHub Actions und npm-Pakete. Die Bedrohung breitet sich wie ein Wurm aus.**

**Was ist passiert?**
Am 22. März 2026 wurden verdächtige Docker-Image-Tags (0.69.4, 0.69.5, 0.69.6) auf Docker Hub veröffentlicht, ohne entsprechende GitHub-Releases. Die Images enthielten den TeamPCP-Infostealer.

**Die Angriffskette**

1. Kompromittierte Credentials bei Aqua Security
2. Trojanisierte Trivy-Versionen auf Docker Hub veröffentlicht
3. Befallene GitHub Actions: aquasecurity/trivy-action und aquasecurity/setup-trivy
4. Weitere Verbreitung über npm-Pakete mit CanisterWorm
5. Defacement von 44 GitHub-Repositories der Aqua Security-Organisation

**Was ist Trivy?**
Trivy ist ein Open-Source-Vulnerability-Scanner von Aqua Security, der in CI/CD-Pipelines weltweit eingesetzt wird. Die Popularität des Tools machte ihn zu einem attraktiven Angriffsziel.

**Sichere Version**
Die letzte verifiziert saubere Version ist 0.69.3 – alle späteren Releases sollten als kompromittiert betrachtet werden.

**Was ist zu tun?**

• Docker-Images auf Version 0.69.3 zurücksetzen
• CI/CD-Pipelines auf verdächtige Aktivitäten prüfen
• Credentials in betroffenen Systemen rotieren
• GitHub Actions auf kompromittierte Versionen überprüfen

—

**Quellen und weiterführende Informationen 📚**
• The Hacker News – Trivy Hack Analysis
• Socket Security Research
• Trivy Docker Hub Repository

**Hinweis zur Aktualität ⚠️**
Dieser Beitrag basiert auf Informationen vom März 2026. Die Lage kann sich schnell ändern – bitte primäre Quellen konsultieren.

**Fazit**
Supply-Chain-Angriffe auf Entwickler-Tools sind ein wachsendes Risiko. Verifikation von Software-Quellen und Pinning spezifischer Versionen sind essenzielle Sicherheitsmaßnahmen.

—

SEO Meta-Daten:
• Meta-Titel: Trivy Supply Chain Attack
• Meta-Beschreibung: Trivy Security Scanner kompromittiert. Docker-Images enthalten Malware. Supply-Chain-Angriff betrifft CI/CD-Pipelines.