Die Kompromittierung des Trivy-Scanners wurde zunächst vom Sicherheitsforschern Paul McCarty öffentlich gemacht, der feststellte, dass Version 0.69.4 manipuliert worden war. Spätere Analysen durch Socket und das Sicherheitsunternehmen Wiz offenbarten das volle Ausmaß: Die Angreifer hatten Zugang zu kompromittierten Zugangsdaten mit Schreibrechten auf das Repository und manipulierten nicht nur einzelne Releases, sondern auch den entrypoint.sh in GitHub Actions. Sie führten einen Force-Push für 75 von 76 Tags im aquasecurity/trivy-action-Repository durch und leiteten diese auf bösartige Commits um.
Dies machte die Attacke besonders tückisch: Externe Workflows, die die betroffenen Versionen verwendeten, führten automatisch den manipulierten Code aus, bevor die legitimen Trivy-Scans starteten. Für Nutzer war dieser Eingriff praktisch unmöglich zu erkennen. Die manipulierte Trivy-Version (0.69.4) war etwa drei Stunden lang aktiv, die bösartigen GitHub-Actions-Tags blieben bis zu zwölf Stunden online.
Die Infostealer-Funktionalität der Malware war umfangreich: Sie sammelten Rekognitionsdaten, scanning nach Dateien, die Credentials speichern, und durchsuchten sogar Speicherbereiche des GitHub-Actions-Runner nach JSON-Strukturen mit geheimen Tokens. Auf Entwicklungsmaschinen wurden Umgebungsvariablen und Netzwerkschnittstellen erfasst. Die gestohlenen Daten wurden in ein Archiv namens tpcp.tar.gz komprimiert und zu einer Typosquatting-C2-Infrastruktur unter scan.aquasecurtiy[.]org exfiltriert. Sollte dies fehlschlagen, erstellte die Malware automatisch ein öffentliches GitHub-Repository namens tpcp-docs und lud die Daten dort hoch.
Zur Persistierung installierte die Malware einen Python-Payload unter ~/.config/systemd/user/sysmon.py als systemd-Service – ein klassischer Persistence-Mechanismus unter Linux. Aqua Security bestätigte später, dass diese Attacke auf unzureichende Containment-Maßnahmen eines früheren Vorfalls vom März 2026 zurückging. Obwohl Secrets und Tokens rotiert wurden, geschah dies nicht atomar, sodass Angreifer Zugriff auf erneuerte Credentials behielten.
Die Bedrohungsakteure identifizierten sich selbst als TeamPCP, auch bekannt als DeadCatx3, PCPcat und ShellForce. Diese Gruppe ist für Cloud-Native-Exploits bekannt, etwa gegen Docker-APIs, Kubernetes-Cluster und Redis-Server. Socket stellte später fest, dass dieselbe Gruppe auch hinter der selbstreproduzierenden Wurm-Kampagne “CanisterWorm” steckt, die npm-Pakete angreift und über Internet-Computer-Canisters als dezentralisierte C2-Infrastruktur operiert.
Organisationen, die betroffene Trivy-Versionen während des Vorfalls nutzen, sollten ihre komplette Umgebung als kompromittiert einstufen und umgehend alle Credentials rotieren – Cloud-Keys, SSH-Schlüssel, API-Tokens und Datenbankpasswörter. Eine forensische Analyse ist dringend erforderlich.