HackadayThis Week in Security: Second Verse, Worse Than the First
This Week in Security: Second Verse, Worse Than the First https://hackaday.com/2026/03/27/this-week-in-security-second-verse-worse-than-the-first/
#HackadayColumns #SecurityHacks #Coruna #Darksword #Endoflife #Github #Litellm #Openwrt #Supplychain #Supplychainattack #Trivy
#HackadayColumns #SecurityHacks #Coruna #Darksword #Endoflife #Github #Litellm #Openwrt #Supplychain #Supplychainattack #Trivy
BSI⚠️📢 Version 1.0: Der Open-Source-Schwachstellenscanner #Trivy von Aqua Security ist seit dem 19.03.2026 von einem Supply-Chain-Angriff betroffen, der zu Kompromittierungen in Deutschland führt.
❗️ Sollte ein Download von Versionen/Actions in diesem Zeitraum stattgefunden haben, sollte von einer Kompromittierung ausgegangen werden. Alle in diesen Runner-Umgebungen zugänglichen Geheimnisse müssen als abgeflossen angesehen werden.
Mehr Informationen findet ihr hier: 👉️ https://www.bsi.bund.de/dok/1195584
Version 1.0: Trivy - Supply-Chain Angriff führt zu Kompromittierungen in Deutschland
Der Open-Source-Schwachstellenscanner Trivy von Aqua Security ist seit dem 19. März 2026 von einem Supply-Chain-Angriff betroffen. Ein Akteur kompromittierte das Repository des Herstellers, um neue, mit Schadcode erweiterte Trivy-Versionen zu verbreiten. Im Detail wurden dabei Trivy v0.69.4 veröffentlicht und 76 von 77 Versionen-Tags in 'aquasecurity/trivy-action' mit Malware zum Diebstahl von Zugangsdaten versehen sowie alle 7 Tags in 'aquasecurity/setup-trivy' durch schädliche Commits ersetzt. Auch schadhafte Docker-Images wurden zwischenzeitlich auf Docker Hub verbreitet. Sollte ein Download von Versionen/Actions in diesem Zeitraum stattgefunden haben, sollte von einer Kompromittierung ausgegangen werden. Alle in diesen Runner-Umgebungen zugänglichen Geheimnisse müssen als abgeflossen angesehen werden.
RedPacket SecurityGuidance for detecting, investigating, and defending against the Trivy supplychain compromise - https://www.redpacketsecurity.com/guidance-for-detecting-investigating-and-defending-against-the-trivy-supplychain-compromise/
#threatintel
#trivy
#supply chain attack
#github actions
#ci/cd security
#credential theft
Thomas StrömbergAt the risk of spilling the beans too early... I grew tired of the constant barrage of supply-chain attacks afflicting the open-source community and decided to create a new open-source #malware scanner, named #Litmus.
This is part of a larger vision for intercepting supply-chain attacks, called The #Atomdrift Project. I want to empower everyone, from software marketplaces to teenagers at home, to catch the sorts of attacks we've recently seen against #Trivy and #OpenClaw.
Spiegel@ナナシビト>2026年3月Trivyサプライチェーン攻撃とDockerイメージのバージョンピニング #trivy #docker #security - Tech Blog|クリエーションライン
www.creationline.com/tech-b...
とりあえず latest バージョンを使っておけばいいか,という長閑な時代は終わったということやね。またひとつパンドラの匣を開けてしまったのか
2026年3月Trivyサプライチェーン攻撃とDockerイ...
2026年3月Trivyサプライチェーン攻撃とDockerイ...
Spiegel@がんばらない>2026年3月Trivyサプライチェーン攻撃とDockerイメージのバージョンピニング #trivy #docker #security - Tech Blog|クリエーションライン
https://www.creationline.com/tech-blog/cloudnative/docker/83207
とりあえず latest バージョンを使っておけばいいか,という長閑な時代は終わったということやね。またひとつパンドラの匣を開けてしまったのか
fugahogeこのレベルで攻撃されるのか・・インターネッツは「性善説って何?」って感じの治安になりつつあるな。
2026年3月Trivyサプライチェーン攻撃とDockerイメージのバージョンピニング #trivy #docker #security - Tech Blog|クリエーションライン
https://www.creationline.com/tech-blog/cloudnative/docker/83207
yukotan開発環境でコンテナ利用している場合でも、もうimageが無事かわからないので latest 運用は危険という話。
安全な image を特定したらdigest で固定したほうが良さそう。
検査済みの安全な image をプライベートリポジトリで運用するのが一番いいんだろうな。
2026年3月Trivyサプライチェーン攻撃とDockerイメージのバージョンピニング #trivy #docker #security - Tech Blog|クリエーションライン
www.creationline.com/tech-blog/cl...
2026年3月Trivyサプライチェーン攻撃とDockerイ...
2026年3月Trivyサプライチェーン攻撃とDockerイ...
Edoardo DusiSe volete sapere come lo scanner di sicurezza più usato al mondo è stato compromesso, sentite qua.
Trivy, di Aqua Security, è quello che dovrebbe proteggere le pipeline CI/CD, invece è diventato il cavallo di Troia di un attacco che ha infettato migliaia di ambienti cloud, avvelenato npm e Docker Hub, e colpito LiteLLM (3,4 milioni di download al giorno).
Qui problema non è la classica sostenibilità dell'open source: è un problema di processo e di fiducia cieca.
