Die Katastrophe begann im Februar, als ein Bedrohungsakteur eine Sicherheitslücke in der Trivy GitHub Action-Komponente ausnutzte. Damit gelang es ihm, einen privilegierten Zugangstoken zu stehlen und Zugriff auf Trivys Repository-Automation und Release-Umgebung zu erlangen. Das Sicherheitsteam von Trivy entdeckte den Vorfall am 1. März und führte eine Anmeldedaten-Rotation durch – jedoch nicht vollständig genug. Der Angreifer schaffte es, seine Zugriffe beizubehalten und die neu rotierten Geheimnisse zu erfassen.
Die eigentliche Sabotage folgte am 19. März: Der Akteur führte „Force-Push”-Operationen durch und injizierte bösartigen Code in 76 der 77 zuvor freigegebenen Versionen von trivy-action – der GitHub Actions-Komponente, die Organisationen für die Durchführung von Trivy-Scans in ihren CI/CD-Pipelines nutzen. Parallel wurden auch alle sieben Versionen des setup-trivy-Repositories mit Malware verseucht. Zusätzlich nutzte der Angreifer das kompromittierte Service-Konto „aqua-bot”, um die bösartige Version v0.69.4 zu veröffentlichen und GitHub-Action-Tags zu manipulieren.
Das Perfide an dieser Strategie: Statt eine neue, offensichtlich verdächtige Version einzuführen, veränderten die Angreifer bestehende Versions-Tags und injizierten Malware in bereits laufende Workflows. Da viele CI/CD-Pipelines sich blind auf Versionsnummern verlassen, ohne den tatsächlichen Code zu überprüfen, liefen die Pipelines weiter, ohne die Manipulation zu bemerken.
Am 23. März folgte die nächste Eskalation: Das kompromittierte aqua-bot-Konto wurde genutzt, um zwei vergiftete Docker-Images (v0.69.5 und v0.69.6) zu veröffentlichen und so Malware über Trivys vertrauten Release-Channel zu verbreiten.
Die eingescleuste Malware ist ein ausgefeilter Credential-Stealer, der über 50 Dateisystem-Lokationen nach SSH-Schlüsseln, Cloud-Credentials (AWS, Google Cloud, Azure), Kubernetes-Token, Docker-Konfigurationen, Umgebungsvariablen, Datenbankpasswörtern und sogar Kryptowallet-Daten durchsucht. Die Daten werden mit AES-256-CBC und RSA-4096-Hybrid-Verschlüsselung chiffriert und zu attacker-kontrollierten Servern übertragen. Als Fallback erstellt die Malware öffentliche GitHub-Repositories auf dem Opfer-Account und lädt die Geheimnisse dorthin.
Aqua Security und das Trivy-Team warnen nun alle betroffenen Organisationen: Alle Geheimnisse, die den kompromittierten Pipelines zugänglich waren, müssen sofort rotiert werden. Das ist eine alarmierende Nachricht für deutsche Unternehmen, die Trivy vertrauen – denn damit müssen potenziell sämtliche Cloud-Credentials und Zugriffstoken neu generiert werden.