🔍 Contexte
Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines.
📅 Chronologie des incidents
- Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub.
- 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise
v0.70.0est également brièvement créée.
⚙️ Mécanisme d’attaque
Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script :
- Établit une connexion avec un domaine C2 de type typosquatting :
scan.aquasecurtiy.org - Exécute un programme de vol d’identifiants complet ciblant :
- Clés SSH
- Identifiants Git
- Identifiants AWS / GCP / Azure
- Secrets Kubernetes
- Configurations Docker
- Identifiants de bases de données
- État Terraform
- Portefeuilles cryptographiques (Solana, Bitcoin, Ethereum, Cardano)
- Clés privées SSL
- Historique du shell
🌐 Distribution et dissimulation
- La version malveillante a également été diffusée via Homebrew (macOS).
- Le pirate a fait supprimer la discussion GitHub initiale signalant l’incident.
- Des bots de spam ont été utilisés pour noyer les alertes dans le bruit.
🧹 Réponse d’Aqua Security
- Suppression de la version v0.69.4.
- Rollback vers la version saine v0.69.3.
- Suppression des tags malveillants.
- Rollback effectué également sur Homebrew.
- Note : la suppression des tags a perturbé les pipelines CI des utilisateurs (seule la balise v0.2.6 subsistait temporairement).
🔗 IOC réseau
- Domaine C2 :
scan.aquasecurtiy.org - IP associée :
45.148.10.212
📌 Type d’article
Rapport d’incident à visée informationnelle, destiné à alerter les utilisateurs de Trivy sur la compromission de la chaîne de distribution et les IOCs associés.
🧠 TTPs et IOCs détectés
Acteurs de menace
- hackerbot-claw (unknown)
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1554 — Compromise Client Software Binary (Persistence)
- T1528 — Steal Application Access Token (Credential Access)
- T1552 — Unsecured Credentials (Credential Access)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1485 — Data Destruction (Impact)
- T1560 — Archive Collected Data (Collection)
IOC
- IPv4 :
45.148.10.212 - Domaines :
scan.aquasecurtiy.org
Malware / Outils
- hackerbot-claw (other)
- Trivy v0.69.4 (malveillante) (stealer)
🔗 Source originale : https://www.it-connect.fr/le-scanner-trivy-pirate-une-seconde-fois-attention-au-vol-de-secrets/