In seiner Mitteilung betonte Trellix, bislang gebe es keine Belege dafür, dass der Veröffentlichungs- oder Verteilungsprozess des Quellcodes betroffen sei oder dass der Code ausgenutzt worden sei. Sobald die Untersuchung abgeschlossen sei, wolle man weitere Einzelheiten teilen, „soweit angemessen". Auf eine Nachfrage von Dark Reading reagierte das Unternehmen mit einer Absage.

Der Fall reiht sich in eine Serie von Angriffen auf die Software-Lieferkette ein, die Anbieter aus der Sicherheitsbranche treffen. In diesem Jahr kompromittierte eine Gruppe namens TeamPCP den quelloffenen Scanner Trivy von Aqua Security sowie KICS, ein Werkzeug zur Code-Analyse von CheckMarx. In beiden Fällen griffen die Akteure GitHub-Actions-Workflows an, um manipulierte Versionen der Open-Source-Tools auszuliefern.

Einen Zusammenhang zwischen TeamPCP und dem Trellix-Vorfall gibt es bislang nicht. Bei ihren Angriffen nutzte die Gruppe allerdings CI/CD-Geheimnisse aus einem kompromittierten Repository, um Zugang zu weiteren Organisationen zu erlangen — ein Muster, das sich im Verlauf der Kampagne mehrfach wiederholte. Zu solchen Geheimnissen zählen Zugangsdaten, SSH-Schlüssel, Signaturschlüssel für Freigaben und GitHub-Action-Tokens.

TeamPCP ist nicht die einzige Gruppe, die es auf den Code von Sicherheitsanbietern abgesehen hat. Im Oktober 2025 räumte F5 Networks ein, dass ein staatlich gesteuerter Akteur in die Produktentwicklungsumgebung eingedrungen war und sensible Daten zur Produktreihe BIG-IP samt Quellcode erbeutet hatte. Bereits 2022 erlitten Okta und Lastpass Einbrüche, bei denen Angreifer an Produktquellcode gelangten.

Welche Folgen der Vorfall für Trellix und seine Kunden hat, ist offen. „Das Risiko hängt davon ab, was die Angreifer tatsächlich erlangt haben und ob sie den Build- oder Freigabeprozess beeinflussen konnten", sagt Raphael Silva, Forscher bei Aikido Security, gegenüber Dark Reading. Bei reinem Lesezugriff auf einen Teil des Repositorys bestehe die Hauptsorge für nachgelagerte Kunden darin, ob derselbe Zugang auch CI/CD-Zugriff, Signaturschlüssel oder Anmeldedaten zur Paketveröffentlichung umfasste — also die Möglichkeit, das auszuliefernde Produkt zu verändern. Nach dem, was Trellix bislang mitgeteilt habe, gebe es keine Anzeichen für einen solchen Zugriff, so Silva.

Dennoch könne ein Quellcode-Einbruch Angreifern einen Vorteil verschaffen, weil er den Aufbau eines Sicherheitsprodukts offenlege — etwa, wo Kontrollen sitzen und wie Erkennungsmechanismen gestaltet sind, erklärt Isaac Evans, Gründer und Geschäftsführer des Anbieters Semgrep. Selbst nach Entdeckung eines Einbruchs sei es zudem nicht zwangsläufig einfach, den Zugang eines Angreifers wieder zu entfernen. Beim Trivy-Vorfall bei Aqua Security habe die anfängliche Abwehrreaktion den Angreifern noch erlaubt, Quellcode zu verändern, nachdem die Verteidiger bereits alarmiert waren.