概要
Aqua Securityが維持する人気のオープンソース脆弱性スキャナであるTrivy Security ScannerのGitHub Actionsが、CI/CDシークレットを盗むために75のタグがハックされた。
詳細
Socketセキュリティ研究者のフィリップ・ブルッカートによると、「aquasecurity/trivy-action」リポジトリの76のバージョンタグのうち、75つが攻撃者によって強制プッシュされ、悪意のあるペイロードを提供するように変更された。
影響
- GitHub Actionsランナー内で実行されるペイロードは、CI/CD環境から開発者の秘密情報を抽出します。
- SSHキー、クラウドサービスプロバイダーの資格情報、データベース、Git、Docker構成、Kubernetesトークン、および暗号通貨ウォレットなどの貴重な開発者シークレットが標的となります。
過去のインシデント
2026年2月末から3月初旬にかけて、「aquasecurity/trivy」GitHubリポジトリに新しいハッキングされたバージョン(0.69.4)が公開され、これが最初の警告信号となりました。
Aqua Securityからの声明
攻撃者は、コミットとタグを書き換える十分な権限を持つ正当な資格情報を悪用して、悪意のあるトリビースキャンバージョンを公開しました。この最新の攻撃は、以前のハッカーbot-clawインシデントからの不完全な封じ込めから生じたとされています。
対策
- ユーザーは最新の安全バージョンを使用することを確認してください。
- GitHub ActionsをSHAハッシュにピン留めする。
Aqua Securityのイタヤ・シャクリ氏は、「疑わしい場合は、コンポーネントがハッキングされたバージョンで実行されていた場合、すべてのパイプラインシークレットを即座に更新することをお勧めします」と述べています。
元記事: https://thehackernews.com/2026/03/trivy-security-scanner-github-actions.html