Die Sicherheitslage ist ernst: Am 1. März bestätigten die Trivy-Maintainer, dass das GitHub-Actions-Workflow des Projekts kompromittiert worden war. Angreifer löschten mehrere Releases und veröffentlichten bösartige Versionen der VS-Code-Erweiterung im Open-VSIX-Marketplace. Das eigentliche Problem folgte aber später – und es ist gravierender.
Die initial gestohlenen Anmeldedaten wurden für eine zweite Welle von Angriffen missbraucht. Zwischen März und März 22 zwangen die Angreifer 76 von 77 Tags des Trivy-Action-Repositories zu bösen Commits. Sie manipulierten auch alle Tags von setup-trivy, einer beliebten Komponente für GitHub Actions. Die maligne Version v0.69.4 von Trivy wurde über alle regulären Distributionskanäle verbreitet – ein Albtraum für Supply-Chain-Sicherheit.
Besonders tückisch ist die Malware selbst: Der Informations-Stealer wurde entwickelt, um den Runner.Worker-Prozess-Speicher auszulesen und alle darin gespeicherten Geheimnisse zu extrahieren. Diese Daten werden verschlüsselt an Remote-Server übermittelt. Falls diese Übertragung fehlschlägt, erstellt die Malware sogar ein öffentliches GitHub-Repository und lädt die Daten dorthin – eine geniale Fallback-Strategie für Cyberkriminelle.
Die Angreifer werden der Gruppe TeamPCP zugeordnet, die seit Ende 2023 aktiv ist und sich auf Cloud-Native-Infrastruktur konzentriert. Sie exploitieren offene CI/CD-Pipelines, Docker-APIs und Kubernetes-Cluster. TeamPCP ist auch für die CanisterWorm-Malware verantwortlich, die über 45 NPM-Pakete kompromittierte und besonders tückisch ist: Sie nutzt einen dezentralisierten ICP-Canister als Command-and-Control-Kanal und kann über Python-Backdoors dynamische Payloads einschleusen.
Aqua Security betont, dass seine kommerziellen Produkte nicht betroffen seien – diese nutzen einen kontrollierten Fork von Trivy mit zeitlicher Verzögerung. Doch für die Open-Source-Nutzer ist sofortiges Handeln erforderlich: Alle Benutzer müssen alle Zugangsdaten, API-Token und Secrets sofort rotieren, wenn sie Trivy, trivy-action oder setup-trivy in ihren Umgebungen nutzen. Die Maintainer empfehlen, auf die bereinigten Versionen v0.69.2/v0.69.3 zu aktualisieren und nach verdächtigen GitHub-Repositories namens “tpcp-docs” zu suchen – ein Indikator dafür, dass die Fallback-Exfiltration aktiv wurde.
Deutsche Unternehmen sollten ihre Entwickler und DevOps-Teams sofort informieren. Dieser Vorfall demonstriert einmal mehr, wie kritisch die Sicherheit von Open-Source-Tools ist, die in jeder modernen Software-Supply-Chain verankert sind.