Trivy оказался скомпрометирован в цепочке поставок: вредоносные версии попали в релизы, GitHub Actions и Docker-образы

У популярного open source-сканера Trivy произошёл серьёзный инцидент в цепочке поставок ПО — software supply chain attack. По официальному advisory Aqua Security и GitHub, 19 марта 2026 года злоумышленник с использованием скомпрометированных учётных данных опубликовал вредоносный релиз Trivy v0.69.4, принудительно перепривязал 76 из 77 тегов в репозитории aquasecurity/trivy-action на вредоносные коммиты и заменил все 7 тегов в aquasecurity/setup-trivy. 22 марта к этому добавились ещё и вредоносные образы Trivy v0.69.5 и v0.69.6 на Docker Hub.

Речь именно о компрометации доверенного канала поставки: злоумышленник подменил артефакты и теги, которые многие команды используют в CI/CD-пайплайнах как доверенные ссылки на Trivy. В результате пострадать могли не только локальные установки, но и автоматические сборки, которые запускали проверку контейнеров и зависимостей в GitHub Actions и других окружениях.

Согласно официальному разбору Aqua, атака была многоэтапной и началась ещё в конце февраля 2026 года. По версии компании, злоумышленники сначала использовали ошибку конфигурации в среде GitHub Actions Trivy, получили привилегированный токен и закрепились в автоматизации релизов. 1 марта команда Trivy уже раскрывала более ранний инцидент и проводила ротацию секретов, но потом выяснилось, что эта ротация была неполной и неатомарной — то есть не все токены и учётные данные были одновременно отозваны. Это дало атакующему шанс сохранить доступ и использовать ещё действующие учётные данные позже, уже во второй фазе атаки.

Ключевой эпизод произошел 19 марта 2026 года. В этот день, как пишет GitHub advisory, злоумышленник:

• выпустил вредоносный релиз Trivy v0.69.4;

• force-push’ем перепривязал 76 из 77 тегов в aquasecurity/trivy-action;

• подменил все 7 тегов в aquasecurity/setup-trivy.

Затем, 22 марта 2026 года, злоумышленник использовал скомпрометированные учётные данные для публикации вредоносных Docker Hub-образов v0.69.5 и v0.69.6. То есть даже после первого обнаружения атаки часть вредоносных артефактов успела попасть в экосистему через контейнерные образы.

Официально подтверждены четыре группы затронутых компонентов.

Trivy binary release v0.69.4. Она распространялась через GitHub, Deb и RPM-каналы. Если кто-то скачал именно эту версию в окно компрометации, такой артефакт считается потенциально вредоносным.

Trivy container images v0.69.4, а также позднее v0.69.5 и v0.69.6 на Docker Hub. При этом Aqua отдельно уточняет, что образы, на которые ссылались по digest, не считаются затронутыми, а безопасными были версии v0.69.3 и ниже.

aquasecurity/trivy-action. Здесь ситуация особенно неприятная для DevOps-команд: были подменены почти все теги, и это означало, что многие пайплайны, которые ссылались на action по тегу, могли автоматически подтянуть уже вредоносный код. Безопасной осталась версия v0.35.0, защищённая механизмом immutable releases — «неизменяемых релизов» GitHub.

aquasecurity/setup-trivy. Там были затронуты все релизные теги, а безопасным вариантом после remediation стала версия v0.2.6.

Aqua и GitHub опубликовали конкретные окна компрометации.

Для Trivy v0.69.4 окно длилось примерно с 19 марта 2026 года 18:22 UTC до около 21:42 UTC, то есть примерно 3 часа. Для trivy-action — с около 17:43 UTC 19 марта до около 05:40 UTC 20 марта, то есть примерно 12 часов. Для setup-trivy — с около 17:43 UTC до около 21:44 UTC 19 марта, то есть около 4 часов. Для Docker Hub-образов v0.69.5/v0.69.6 окно составляло примерно 10 часов 22 марта. Если пайплайн скачал action или образ в это окно, секреты и токены такого раннера нужно считать потенциально скомпрометированными.

По разбору Aqua, вредоносная нагрузка в затронутых окружениях собирала чувствительные данные из CI/CD-среды. В списке, который приводит компания, — API tokens, облачные учётные данные для AWS, GCP и Azure, SSH keys, Kubernetes tokens, Docker-конфиги, Git-учётные данные и другие секреты, доступные в runner’е. Причём вредоносный код запускался до штатной логики Trivy, а затем пайплайн мог выглядеть как будто всё прошло нормально. Это особенно опасно, потому что компрометация могла остаться незамеченной.

SecurityWeek со ссылкой на дополнительные технические разборы пишет, что вредоносный код был нацелен на выгрузку памяти процесса Runner.Worker для извлечения секретов, затем собранные данные шифровались и отправлялись на удалённый сервер. Если прямая эксфильтрация не срабатывала, вредоносное ПО могло использовать альтернативный путь — создать публичный GitHub-репозиторий и выгрузить данные туда. Это уже не официальный advisory Aqua, но публикация согласуется с общей картиной атаки и помогает понять практический риск для CI/CD.

Aqua дополнительно рекомендует блокировать домен управления scan[.]aquasecurtiy[.]org и IP-адрес 45.148.10.212. Название домена здесь тоже показательно: оно имитирует aquasecurity, но с опечаткой — типичный приём для скрытой инфраструктуры злоумышленников.

Один из самых показательных моментов в этом инциденте — злоумышленники не стали ограничиваться публикацией новой явно подозрительной версии. Вместо этого они подменили уже привычные version tags — теги версий, которыми и так пользовались реальные пайплайны. Aqua прямо пишет, что многие организации ссылаются в CI/CD именно на теги, а не на pinned commits, то есть жёстко зафиксированные SHA-коммиты. Поэтому пайплайны продолжали работать без явного сигнала тревоги, хотя underlying code уже изменился.

Ссылка на action вида @v0.34.2 или даже @latest выглядит удобно, но она даёт вендору или, как в этом случае, злоумышленнику возможность подменить содержимое, если защита релизов недостаточна. Жёсткая фиксация на конкретный SHA-коммит в таких ситуациях сильно снижает риск. Aqua в своём сообщении отдельно отмечает, что SHA-pinned references не считаются затронутыми.

Aqua рекомендует срочно переходить на:

• Trivy v0.69.3;

• trivy-action v0.35.0;

• setup-trivy v0.2.6.

Также GitHub advisory отдельно говорит, что v0.69.3 защищена включённой функцией immutable releases, а v0.69.2 и более ранние версии можно проверять через sigstore signatures — криптографические подписи для проверки подлинности артефактов.

Если есть хоть малейшая вероятность, что в период окна компрометации использовались затронутые версии Trivy, trivy-action или setup-trivy, Aqua рекомендует считать все секреты CI/CD-команды скомпрометированными и сразу их ротировать. Это касается токенов GitHub, облачных ключей, Kubernetes-секретов, SSH-ключей, Docker-логинов и других credentials, которые могли быть доступны runner’у.

Aqua рекомендует предпринять минимум пять шагов:

1. Проверить логи сборок и workflow за 19–22 марта 2026 года на факт использования Trivy v0.69.4, aquasecurity/trivy-action по тегам до 0.35.0, aquasecurity/setup-trivy до 0.2.6, а также Docker Hub-образов v0.69.5/v0.69.6.

2. Немедленно обновиться до безопасных версий и перестать использовать mutable references вроде @latest или «плавающих» тегов там, где это критично для security tooling.

3. Провести ротацию секретов и токенов. Aqua прямо формулирует это как immediate and urgent action item — срочное действие.

4. Проверить сетевые логи и EDR/SIEM на обращения к указанному домену и IP, а также на признаки нетипичной активности из CI/CD-раннеров в период окна компрометации.

5. Пресмотреть политику доверия к GitHub Actions и внешним артефактам: где можно, закреплять SHA-коммиты, использовать проверку подписей, а для критичных компонентов — хранить внутренние зеркала и собственные allowlist’ы поставщиков.

Этот мартовский инцидент не был первой проблемой Trivy в 2026 году. Ранее, 1 марта, команда уже сообщала о другом инциденте, связанном с GitHub Actions, удалением некоторых релизов и публикацией вредоносной версии VS Code extension для Trivy через Open VSX. NVD отдельно описывает компрометацию Trivy VSCode Extension 1.8.12, где вредоносный код был нацелен на сбор и эксфильтрацию чувствительной информации, в том числе с использованием локального AI coding agent. Supply chain-атака 19–22 марта была не изолированным событием, а продолжением более ранней компрометации.