Trivy, scanner de vulnerabilidades, é comprometido novamente com malware

BR Defense Center (By River de Morais e Silva)
malware

O Trivy, um scanner de vulnerabilidades de código aberto mantido pela Aqua Security, sofreu sua segunda violação em um mês, resultando na entrega de malware que rouba segredos sensíveis de CI/CD. O incidente mais recente afetou as ações do GitHub ‘aquasecurity/trivy-action’ e ‘aquasecurity/setup-trivy’, utilizadas para escanear imagens de contêiner Docker e configurar fluxos de trabalho no GitHub. Um atacante forçou a modificação de 75 das 76 tags de versão no repositório ‘aquasecurity/trivy-action’, transformando referências de versões confiáveis em um mecanismo de distribuição para um infostealer. O malware, que opera em três etapas, busca extrair segredos valiosos de ambientes de CI/CD, como chaves SSH e credenciais de provedores de serviços em nuvem. O ataque é atribuído a um grupo conhecido como TeamPCP, que se especializa em roubo de dados na nuvem. Os usuários são aconselhados a usar versões seguras e a tratar todos os segredos de pipeline como comprometidos se estiverem usando versões afetadas. Medidas de mitigação incluem bloquear o domínio de exfiltração e monitorar contas do GitHub em busca de repositórios suspeitos.

Fonte: https://thehackernews.com/2026/03/trivy-security-scanner-github-actions.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
20/03/2026 • Risco: CRITICO
MALWARE

Trivy, scanner de vulnerabilidades, é comprometido novamente com malware

RESUMO EXECUTIVO
O ataque ao Trivy destaca a vulnerabilidade de ferramentas amplamente utilizadas em ambientes de desenvolvimento. A modificação de tags de versão permitiu a distribuição de malware, comprometendo segredos de CI/CD. A situação exige atenção imediata para evitar vazamentos de dados e garantir a conformidade regulatória.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido ao roubo de dados e à necessidade de remediação.
Operacional
Roubo de segredos de desenvolvedores e comprometimento de credenciais.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software', 'Serviços em Nuvem']

📊 INDICADORES CHAVE

75 das 76 tags de versão foram modificadas. Indicador
Um novo release comprometido (versão 0.69.4) foi publicado. Contexto BR
O malware exfiltra dados via requisições HTTP POST. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se versões comprometidas estão em uso.
2 Rotacionar todos os segredos de pipeline imediatamente.
3 Monitorar contas do GitHub para repositórios suspeitos e bloquear o domínio de exfiltração.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de CI/CD, pois o ataque comprometeu segredos críticos que podem levar a vazamentos de dados.

⚖️ COMPLIANCE

Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados sensíveis.
Status
investigacao
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).