Un actor malicioso comprometió temporalmente la cadena de suministro del ecosistema Trivy, una herramienta de seguridad de código abierto, entre el 19 y el 22 de marzo de 2026. El atacante utilizó credenciales comprometidas para publicar versiones maliciosas de Trivy v0.69.4, v0.69.5 y v0.69.6, así como para manipular las acciones de GitHub trivy-action y setup-trivy. El código malicioso, inyectado en las versiones comprometidas, buscaba robar credenciales y secretos del sistema. La brecha se originó por una rotación de credenciales no atómica, permitiendo al atacante mantener acceso. Aquasecurity, la empresa detrás de Trivy, ha eliminado las versiones maliciosas y restaurado las versiones seguras, pero advierte que los artefactos podrían persistir en cachés. Se recomienda a los usuarios actualizar a versiones seguras (v0.69.2 o v0.69.3 para Trivy, v0.35.0 para trivy-action y v0.2.6 para setup-trivy), rotar los secretos potencialmente expuestos y auditar los registros de ejecución para detectar signos de compromiso. El incidente subraya la importancia de la seguridad en la cadena de suministro de software de código abierto.
Noticias agregadas con IA