CyberVeille.ch58m ago

📢 Attaque supply chain : le scanner Trivy d'Aqua Security compromis via force-push de tags Git
📝 ## 🔍 Contexte

Article publié le 22 mars 2026 sur Ars Technica, rédigé par...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-attaque-supply-chain-le-scanner-trivy-d-aqua-security-compromis-via-force-push-de-tags-git/
🌐 source : https://arstechnica.com/security/2026/03/widely-used-trivy-scanner-compromised-in-ongoing-supply-chain-attack/
#Aqua_Security #CI_CD #Cyberveille

Attaque supply chain : le scanner Trivy d'Aqua Security compromis via force-push de tags Git

🔍 Contexte Article publié le 22 mars 2026 sur Ars Technica, rédigé par Dan Goodin. L’incident a débuté dans les premières heures du jeudi 20 mars 2026 et a été confirmé par Itay Shakury, mainteneur de Trivy, scanner de vulnérabilités open source d’Aqua Security comptant 33 200 étoiles sur GitHub. 💥 Nature de l’attaque Les attaquants, se désignant sous le nom Team PCP, ont exploité des credentials volés (issus d’une compromission antérieure du mois précédent sur l’extension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dépôt aquasecurity/trivy-action. Cette technique contourne les mécanismes de protection habituels et n’apparaît pas dans l’historique des commits, évitant ainsi les notifications et les défenses classiques.

CyberVeille
CyberVeille.ch7h ago

📢 Trivy compromis une seconde fois : version malveillante v0.69.4 diffusée avec un stealer
📝 ## 🔍 Contexte

Source : IT-Connect, publié le 20 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-trivy-compromis-une-seconde-fois-version-malveillante-v0-69-4-diffusee-avec-un-stealer/
🌐 source : https://www.it-connect.fr/le-scanner-trivy-pirate-une-seconde-fois-attention-au-vol-de-secrets/
#CI_CD #GitHub_Actions #Cyberveille

Trivy compromis une seconde fois : version malveillante v0.69.4 diffusée avec un stealer

🔍 Contexte Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines. 📅 Chronologie des incidents Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub. 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise v0.70.0 est également brièvement créée. ⚙️ Mécanisme d’attaque Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script :

CyberVeille
sammii5d ago

There is something freeing about removing yourself from the component design process entirely. A pipeline builds one every day, tests it, documents it, ships it. The library develops character not from planning but from rhythm.

#DevOps #AutomatedTesting #CI_CD #SoftwareDevelopment

Offensive SequenceMar 12
🚨 CVE-2026-31976: CRITICAL supply chain risk in xygeni/xygeni-action. Workflows using @v5 (Mar 3 – 10, 2026) ran C2 code via tag poisoning. Pin to safe SHA, rotate creds, review logs. Details: https://radar.offseq.com/threat/cve-2026-31976-cwe-506-embedded-malicious-code-in--7bdbb65f #OffSeq #SupplyChain #CI_CD #GitHub
AardjonMar 1

Vielleicht hat zum heutigen #diday jemand einen Tipp für mich? Ich würde gern ein FLOSS-Projekt von Github zu Codeberg umziehen, wo es jedoch nur eine eingeschränkte CI-Umgebung gibt. Welche CI-Services könnt ihr mir denn für die Verwendung mit einem Codeberg-Repo empfehlen?
An Plattformen habe ich Linux und Windows (iOS geplant). Sowas wie "Github Actions" brauche ich nicht, mir reicht im Grunde ein Docker-Container mit einer Shell. Wäre cool wenn der Service für FLOSS nichts kostet, Ressourcenlimitierung ist natürlich okay. Schön wäre außerdem wenn die Runner nicht in Azure (bzw. generell nicht in einer Big Tech-Cloud) laufen.

#fedihelp_de #ci_cd #ci #codeberg #unplugtrump

SquadsFeb 28

RE: https://mastodon.social/@mubergapps/116145060273873624

Great to see how LLMs are helping to simplify developer workflows. Static sites + Cloudflare Pages is a solid, low-friction setup for fast, simple hosting.

#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM

Hani MFeb 27

#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM

For my site, I wanted a fast, simple static site hosted cheaply. I started to brainstorm with LLMs, and it suggested using GitHub Pages. Since I don't use GitHub, it then suggested Cloudflare Pages. That worked really well. Actually, the LLM was instrumental in onboarding me onto the Cloudflare ecosystem with minimal friction. It was awesome. It wrote the deploy.yaml and it worked well.

1/4

Hani MFeb 27

#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM

We hit a huge wall with the act_runner docker container completing the actions. Again, the LLM helped immensely. My Docker knowledge is not maven level; it's barely novice level. The LLM made the learning curve almost flat. I ended up (following the LLM's directions) creating a custom.yaml for the runner so it behaved well and connected to the network correctly.

2/4

Hani MFeb 27

#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM

The setup is local development using Pelican (outlined in an earlier post). After merging and pushing, the runner automatically deploys the site to production. The '--branch' flag allows preview deployments from the branch you push from.

3/4

Hani MFeb 27

#Cloudflare #StaticSite #Pelican #WebDev #Gitea #CI_CD #SelfHosted #LLM

Overall, deployment is pretty slick. Hosting is fast, on the edge, and free. Thank you, Cloudflare.

4/4