O scanner de vulnerabilidades Trivy, amplamente utilizado por desenvolvedores e equipes de segurança, foi alvo de um ataque supply-chain realizado pelo grupo de ameaças conhecido como TeamPCP. O ataque resultou na distribuição de malware que rouba credenciais através de versões oficiais e ações do GitHub. A vulnerabilidade foi inicialmente divulgada pelo pesquisador de segurança Paul McCarty, que alertou sobre a versão 0.69.4 do Trivy, que havia sido comprometida. Análises posteriores revelaram que quase todas as tags do repositório trivy-action no GitHub foram afetadas, permitindo que o código malicioso fosse executado automaticamente em fluxos de trabalho externos. Os atacantes conseguiram comprometer o processo de construção do GitHub, substituindo scripts legítimos por versões maliciosas. O malware coletou dados sensíveis, incluindo chaves SSH, credenciais de nuvem e arquivos de configuração, armazenando-os em um arquivo que era enviado para um servidor de comando e controle. O ataque, que durou cerca de 12 horas, expôs a necessidade urgente de as organizações que utilizaram as versões afetadas tratarem seus ambientes como totalmente comprometidos, rotacionando todas as credenciais e analisando sistemas para possíveis compromissos.
Fonte: https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
🚨BR DEFENSE CENTER: SECURITY BRIEFING
21/03/2026 • Risco: CRITICO
MALWARE
Scanner de vulnerabilidades Trivy comprometido em ataque supply-chain
RESUMO EXECUTIVO
O ataque ao Trivy expõe a vulnerabilidade de ferramentas essenciais no desenvolvimento de software, destacando a necessidade de monitoramento rigoroso e resposta rápida a incidentes. A exposição de credenciais pode resultar em sérias consequências legais e financeiras.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e danos à reputação.
Operacional
Roubo de credenciais e dados sensíveis de sistemas comprometidos.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software', 'Nuvem']
📊 INDICADORES CHAVE
75 de 76 tags comprometidas no repositório trivy-action.
Indicador
Duração do ataque: cerca de 12 horas.
Contexto BR
Versão maliciosa do Trivy esteve ativa por aproximadamente 3 horas.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se versões afetadas do Trivy foram utilizadas e identificar sistemas comprometidos.
2
Rotacionar todas as credenciais, incluindo chaves SSH e tokens de API.
3
Monitorar continuamente sistemas para atividades suspeitas e possíveis novos compromissos.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de ferramentas amplamente utilizadas que podem comprometer a integridade de sistemas e dados sensíveis.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD devido ao vazamento de dados sensíveis.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
