Attaque supply chain : le scanner Trivy d'Aqua Security compromis via force-push de tags Git
đ Contexte Article publiĂ© le 22 mars 2026 sur Ars Technica, rĂ©digĂ© par Dan Goodin. Lâincident a dĂ©butĂ© dans les premiĂšres heures du jeudi 20 mars 2026 et a Ă©tĂ© confirmĂ© par Itay Shakury, mainteneur de Trivy, scanner de vulnĂ©rabilitĂ©s open source dâAqua Security comptant 33 200 Ă©toiles sur GitHub. đ„ Nature de lâattaque Les attaquants, se dĂ©signant sous le nom Team PCP, ont exploitĂ© des credentials volĂ©s (issus dâune compromission antĂ©rieure du mois prĂ©cĂ©dent sur lâextension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dĂ©pĂŽt aquasecurity/trivy-action. Cette technique contourne les mĂ©canismes de protection habituels et nâapparaĂźt pas dans lâhistorique des commits, Ă©vitant ainsi les notifications et les dĂ©fenses classiques. ...