Meta News

Compromiso del ampliamente utilizado scanner Trivy en ataque de cadena de suministro en curso

Summary: Hackers comprometieron prácticamente todas las versiones del escáner de vulnerabilidades Trivy, utilizado por desarrolladores, potencialmente expuso información sensible a través de canales de CI/CD comprometidos.

Los hackers han comprometido prácticamente todas las versiones del ampliamente utilizado escáner de vulnerabilidades Trivy de Aqua Security en un ataque a la cadena de suministro en curso que podría tener consecuencias significativas para desarrolladores y organizaciones que dependen de él.

El maintainer de Trivy, Itay Shakury, confirmó el compromiso el viernes, después de rumores y una publicación eliminada que discutía el incidente. El ataque comenzó temprano en la mañana del jueves e involucró credenciales robadas que se utilizaron para forzar el envío a través de todas las etiquetas trivy-action excepto una y siete etiquetas setup-trivy con dependencias maliciosas. Un envío forzado es un comando git que reemplaza los mecanismos de seguridad predeterminados, permitiendo a los atacantes sobrescribir comités existentes.

Las firmas de seguridad Socket y Wiz informaron que malware activado en 75 etiquetas trivy-action comprometidas causa la ejecución de malware personalizado que busca exhaustivamente las líneas de ensamblaje de desarrollo para tokens de GitHub, credenciales de nube, claves SSH, tokens de Kubernetes e información secreta adicional. Una vez encontrada, el malware cifra los datos y los envía a un servidor controlado por el atacante.

Al ejecutarse, el binario malicioso comienza tanto el servicio legítimo Trivy como el código malicioso en paralelo. Los investigadores de Wiz señalaron que el código malicioso expulsa secretos con un mecanismo primario y secundario. Si se detecta en una máquina del desarrollador, escribe un dropper Python codificado en base64 para persistencia. El compromiso surgió a partir de una violación de credenciales separada el mes pasado, donde los atacantes ganaron acceso de escritura a la cuenta de GitHub de Trivy.

Socket explicó que la técnica de ataque utilizó múltiples capas de engaño, lo que permitió que el compromiso pasara desapercibido para las defensas comunes. El atacante forzó actualizaciones en 75 etiquetas de versión existentes con commits maliciosos sin disparar notificaciones ni historiales de nuevos commit.

Key facts

  • Los hackers comprometieron todas las versiones de Trivy, un escáner de vulnerabilidades ampliamente utilizado.
  • El ataque involucró el envío forzado de etiquetas con dependencias maliciosas para superar mecanismos de seguridad.
  • El malware expulsa secretos de las líneas de ensamblaje de desarrollo y cifra los datos para robo de información.
  • Los atacantes explotaron una violación de credenciales del mes pasado para ganar acceso de escritura.
  • El incidente destaca los riesgos asociados a cadenas de suministro comprometidas en el desarrollo de software.

Why it matters

El compromiso destaca los vulnerabilidades en las cadenas de suministro y subraya la necesidad de medidas de seguridad elevadas en los flujos de trabajo de desarrollo. Este incidente podría llevar a brechas de datos generalizadas y tiene significativas implicaciones para las prácticas de ciberseguridad.

Tags:
cybersecurity supply chain attack Trivy scanner

Structured details

  • Industry: cybersecurity
  • Source type: media
  • Claim status: confirmed
  • Verification: claimed_by_source
  • Entities: Aqua Security, Trivy vulnerability scanner, Itay Shakury, Socket, Wiz, Team PCP, GitHub, CI/CD pipeline, malware, forced push

Source: https://arstechnica.com/security/2026/03/widely-used-trivy-scanner-compromised-in-ongoing-supply-chain-attack/

Published on