Ataque a Trivy: Malware en acciones de GitHub compromete CI/CD

Un ataque a la cadena de suministro ha comprometido las acciones de GitHub de Trivy, una herramienta de escaneo de vulnerabilidades, exponiendo potencialmente miles de flujos de trabajo de CI/CD a malware. El ataque, detectado el 20 de marzo de 2026, involucró a un atacante que forzó la actualización de 75 de 76 etiquetas de versión en el repositorio aquasecurity/trivy-action, reemplazándolas con commits maliciosos que contienen un infostealer. Este payload roba credenciales de AWS, GCP, Azure y tokens de cuentas de servicio de Kubernetes. El incidente es el segundo ataque a Trivy en marzo, tras un compromiso previo en la extensión VS Code. La vulnerabilidad se originó por el acceso comprometido a las credenciales del repositorio, resultado de una rotación de secretos incompleta tras una brecha anterior. El atacante evitó la detección al modificar las etiquetas directamente sin afectar el historial de commits, y utilizando metadatos falsificados para simular commits legítimos. La etiqueta 0.35.0 es la única versión no comprometida. Socket, una empresa de seguridad, detectó la actividad en tiempo real y ha publicado información sobre el incidente.