grambulf
BSI⚠️📢 Version 1.0: Der Open-Source-Schwachstellenscanner #Trivy von Aqua Security ist seit dem 19.03.2026 von einem Supply-Chain-Angriff betroffen, der zu Kompromittierungen in Deutschland führt.
❗️ Sollte ein Download von Versionen/Actions in diesem Zeitraum stattgefunden haben, sollte von einer Kompromittierung ausgegangen werden. Alle in diesen Runner-Umgebungen zugänglichen Geheimnisse müssen als abgeflossen angesehen werden.
Mehr Informationen findet ihr hier: 👉️ https://www.bsi.bund.de/dok/1195584
Version 1.0: Trivy - Supply-Chain Angriff führt zu Kompromittierungen in Deutschland
Der Open-Source-Schwachstellenscanner Trivy von Aqua Security ist seit dem 19. März 2026 von einem Supply-Chain-Angriff betroffen. Ein Akteur kompromittierte das Repository des Herstellers, um neue, mit Schadcode erweiterte Trivy-Versionen zu verbreiten. Im Detail wurden dabei Trivy v0.69.4 veröffentlicht und 76 von 77 Versionen-Tags in 'aquasecurity/trivy-action' mit Malware zum Diebstahl von Zugangsdaten versehen sowie alle 7 Tags in 'aquasecurity/setup-trivy' durch schädliche Commits ersetzt. Auch schadhafte Docker-Images wurden zwischenzeitlich auf Docker Hub verbreitet. Sollte ein Download von Versionen/Actions in diesem Zeitraum stattgefunden haben, sollte von einer Kompromittierung ausgegangen werden. Alle in diesen Runner-Umgebungen zugänglichen Geheimnisse müssen als abgeflossen angesehen werden.
cakruege
skywalkersHand
Felix / Fail-X