Сканер Trivy дважды за месяц использовали для кражи секретов

Популярный сканер уязвимостей с открытым исходным кодом Trivy поймали на раздаче малвари второй раз за месяц. Злоумышленники использовали его для кражи секретов из CI/CD-пайплайнов. Под удар попали два компонента GitHub Actions. Первый aquasecurity/trivy-action сканирует docker-образы на уязвимости. Второй aquasecurity/setup-trivy настраивает workflow с нужной версией сканера.

Специалисты по безопасности рассказали, что атакующий изменил 75 из 76 версионных тегов в репозитории aquasecurity/trivy-action так, чтобы они тянули вредоносную нагрузку. Доверенные ссылки на версии превратились в механизм доставки инфостилера.

Малварь запускается внутри GitHub Actions-раннеров и извлекает всё ценное из окружений разработчиков: SSH-ключи, учётки от облаков, доступы к базам, конфиги Git и Docker, токены Kubernetes, криптокошельки.

Это уже второй подобный промах Trivy за короткий срок. В 2026 году автономный бот hackerbot-claw уже эксплуатировал уязвимость в workflow pull_request_target. Бот украл персональный токен доступа, через который захватили репозиторий на GitHub. Злоумышленники удалили несколько релизов и установили две вредоносные версии расширения для VS Code в реестр Open VSX.

В репозитории появился поддельный релиз версии 0.69.4, которую позже удалили. Аналитики выяснили, что 0.69.4 запускает и легитимный сервис Trivy, и вредоносный код одновременно.

Стилер сканирует систему на переменные окружения и учётные записи, шифрует данные, отправляет на сервер scan.aquasecurtiy.org через HTTP-запросы. Он самоустанавливается в автозагрузку через systemd, если работает на машине разработчика.

Разработчики Trivy подтвердили, что атакующие использовали украденные учётные записи для публикации вредоносных релизов. В случае с aquasecurity/trivy-action они форс-пушнули теги без создания нового релиза или изменений в ветке. Семь тегов aquasecurity/setup-trivy переписали так же.

Исследователи пояснили, что взламывать сам Git не пришлось. У атакующих были рабочие учётные записи с достаточными правами для пуша кода и перезаписи тегов. Украденные пароли и токены остались рабочими с предыдущего инцидента.

Разработчики признали, что последняя атака случилась из-за неполной очистки скомпрометированных данных после истории с hackerbot-claw. Они поменяли секреты и токены, но не успели обновить остальное. Злоумышленники поймали момент и получили доступ к части обновлённых токенов. Если отправка данных на сервер не срабатывает, стилер использует GitHub-аккаунт самой жертвы, создаёт публичный репозиторий tpcp-docs и сохраняет в нём украденные данные.

Кто именно стоит за атакой, пока непонятно. Под подозрением оказалась группировка TeamPCP. В исходных данных стилер называется TeamPCP Cloud stealer. Группа известна как DeadCatx3, PCPcat, PersyPCP, ShellForce и CipherForce и специализируется на взломе облачной инфраструктуры для кражи данных и вымогательства.

Пользователям рекомендуют перейти на последние безопасные версии. Для Тrivy это 0.69.3, для trivy-action это 0.35.0, для setup-trivy это 0.2.6. Специалисты призвали всех, кто мог запустить заражённую версию, считать все секреты пайплайна скомпрометированными и срочно их поменять.