Das Ausmaß des Angriffs reicht inzwischen tief in die internen Strukturen von Aqua Security hinein. Nach Angaben des Teams von OpenSourceMalware verunstalteten die Angreifer sämtliche 44 internen Repositorys der GitHub-Organisation „aquasec-com": Jedes Repository erhielt das Präfix „tpcp-docs-", alle Beschreibungen wurden auf „TeamPCP Owns Aqua Security" („TeamPCP besitzt Aqua Security") gesetzt, und sämtliche Projekte wurden öffentlich zugänglich gemacht. Die betroffene Organisation „aquasec-com" ist nicht identisch mit dem bekannteren GitHub-Konto „aquasecurity", über das der manipulierte Trivy-Scanner, die GitHub Actions und weitere Open-Source-Projekte des Anbieters laufen. In „aquasec-com" liegt dagegen proprietärer Quellcode — darunter der Quellcode von Tracee, interne Trivy-Forks, CI/CD-Pipelines, Kubernetes-Operatoren und interne Wissensdatenbanken des Teams. Sämtliche Repositorys wurden in einem skriptgesteuerten Schub von rund zwei Minuten verändert, zwischen 20:31:07 und 20:32:26 UTC am 22. März 2026. Mit hoher Sicherheit gehen die Forscher davon aus, dass die Täter dafür ein kompromittiertes Dienstkonto namens „Argon-DevOps-Mgt" missbrauchten. „Unsere forensische Analyse der GitHub-Events-API deutet auf ein kompromittiertes Service-Account-Token als Angriffsvektor hin — wahrscheinlich gestohlen während der früheren Kompromittierung der Trivy-GitHub-Actions durch TeamPCP", erklärt der Sicherheitsforscher Paul McCarty. „Es handelt sich um ein Service- bzw. Bot-Konto (GitHub-ID 139343333, erstellt am 12.07.2023) mit einer entscheidenden Eigenschaft: Es verbindet beide GitHub-Organisationen." Ein einziges kompromittiertes Token verschaffe dem Angreifer damit Schreib- und Administratorrechte in beiden Organisationen. TeamPCP hat sich einen Namen damit gemacht, Cloud-Infrastrukturen anzugreifen, und baut sein Arsenal kontinuierlich aus. Der Akteur nimmt systematisch exponierte Docker-APIs, Kubernetes-Cluster, Ray-Dashboards und Redis-Server ins Visier, um Daten zu stehlen, Ransomware auszurollen, Opfer zu erpressen und Kryptowährung zu schürfen. Zu welcher Eskalationsstufe der Akteur inzwischen fähig ist, zeigt eine neue Wiper-Malware. Sie verbreitet sich über SSH mithilfe gestohlener Schlüssel und nutzt im lokalen Subnetz exponierte Docker-APIs auf Port 2375 aus. Eine weitere, TeamPCP zugeschriebene Schadkomponente geht über den reinen Diebstahl von Zugangsdaten hinaus und löscht ganze Kubernetes-Cluster in Iran. Das Shell-Skript verwendet denselben ICP-Canister, der mit CanisterWorm in Verbindung steht, und prüft anschließend, ob es sich um iranische Systeme handelt. „Unter Kubernetes werden privilegierte DaemonSets auf jedem Knoten ausgerollt, einschließlich der Control Plane", sagt Charlie Eriksen, Sicherheitsforscher bei Aikido. „Iranische Knoten werden über einen Container namens ‚kamikaze’ gelöscht und zwangsweise neu gestartet. Auf nicht-iranischen Knoten wird die CanisterWorm-Hintertür als systemd-Dienst installiert. Iranische Rechner ohne Kubernetes erhalten den Befehl ‚rm -rf / –no-preserve-root’." Da der Angriff andauert, sollten Organisationen ihren Einsatz von Trivy in CI/CD-Pipelines überprüfen, die betroffenen Versionen meiden und jede kürzliche Ausführung als potenziell kompromittiert behandeln. OpenSourceMalware verweist auf den langen Nachlauf solcher Lieferkettenangriffe: Eine Zugangsberechtigung, die vor Monaten bei der Kompromittierung der Trivy-GitHub-Actions erbeutet wurde, sei nun genutzt worden, um eine komplette interne GitHub-Organisation zu verunstalten. Das schwache Glied sei das Dienstkonto Argon-DevOps-Mgt gewesen — ein einzelnes Bot-Konto, das über ein langlebiges PAT zwei Organisationen miteinander verband. Der Akteur entwickle seine Fähigkeiten von der Cloud-Ausnutzung über Lieferketten-Würmer bis hin zu Kubernetes-Wipern stetig weiter und nehme dabei gezielt das Ökosystem der Sicherheitsanbieter selbst ins Visier.
Trivy-Lieferkettenangriff weitet sich aus: Infostealer über Docker Hub, npm-Wurm und Kubernetes-Wiper

Nach dem Lieferkettenangriff auf den Open-Source-Schwachstellenscanner Trivy haben Sicherheitsforscher schädliche Artefakte entdeckt, die über Docker Hub verbreitet wurden — ein Hinweis darauf, dass die Auswirkungen des Vorfalls in immer mehr Entwicklungsumgebungen hineinreichen. Die letzte als sauber bekannte Trivy-Version auf Docker Hub ist 0.69.3; die manipulierten Versionen 0.69.4, 0.69.5 und 0.69.6 wurden inzwischen aus der Container-Bibliothek entfernt. Wie der Sicherheitsforscher Philipp Burckhardt von Socket berichtet, wurden die Image-Tags 0.69.5 und 0.69.6 am 22. März ohne zugehörige GitHub-Releases oder -Tags hochgeladen; beide Images enthalten Kompromittierungsindikatoren, die demselben TeamPCP-Infostealer zugeordnet werden, der schon in früheren Phasen der Kampagne auftrat. Trivy wird von Aqua Security gepflegt. Bei dem ursprünglichen Angriff nutzten die Täter eine kompromittierte Zugangsberechtigung, um ein Schadprogramm zum Diebstahl von Zugangsdaten in trojanisierte Versionen des Werkzeugs sowie in die beiden zugehörigen GitHub Actions „aquasecurity/trivy-action" und „aquasecurity/setup-trivy" einzuschleusen. Mit den so erbeuteten Daten kompromittierten sie anschließend Dutzende npm-Pakete und verteilten darüber einen sich selbst verbreitenden Wurm namens CanisterWorm. Der Vorfall wird einem als TeamPCP geführten Akteur zugeschrieben.