Trivy : Un nouveau piratage met en danger des millions de données

Mise à jour le 2026-03-20 09:07:00 : Trivy, le scanner de vulnérabilités open source, a été compromis une seconde fois, exposant des données sensibles.

Table Of Content

Trivy, le célèbre scanner de vulnérabilités open source maintenu par Aqua Security, est de nouveau affecté par un incident de sécurité. C’est le second en trois semaines, puisque l’incident HackerBot Claw avait permis aux pirates de prendre le contrôle du dépôt GitHub de Trivy. Cette fois-ci, c’est une version malveillante (v0.69.4) qui a été publiée ! Quels sont les risques ? Voici ce que l’on sait.

Deux incidents de sécurité en trois semaines

J’ai envie de dire que le cauchemar continue pour les mainteneurs de Trivy et les utilisateurs de ce scanner de vulnérabilités très populaire. Souvenez-vous : fin février dernier, un bot autonome nommé hackerbot-claw était parvenu à exploiter une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt Trivy. L’outil avait même disparu totalement de GitHub, avant de revenir quelques heures plus tard.

Jeudi 19 mars, un nouvel incident de sécurité a frappé Trivy. Cette fois-ci, c’est une version malveillante qui a été diffusée : v0.69.4. Des investigations menées par StepSecurity et partagées dans un rapport expliquent précisément ce qu’il s’est passé. Tout d’abord, il semblerait que le même acteur soit à l’origine de cette seconde attaque.

« Le système d’automatisation des publications Trivy (aqua-bot) a publié la version v0.69.4, et une balise v0.70.0 a également été brièvement créée. Les binaires de la version v0.69.4 contenaient un code malveillant qui établissait une connexion avec un domaine C2 de type « typosquatting ». », peut-on lire.

Le binaire officiel Trivy v0.69.4 a donc été modifié pour communiquer avec un domaine malveillant (scan.aquasecurtiy.org – notez la subtilité dans le nom). L’analyse révèle que l’opération GitHub Action aquasecurity/trivy-action a été modifiée, notamment pour pointer vers des commits corrompus contenant le script malveillant. Ce script déroule plusieurs étapes sur l’environnement et l’une d’elles consiste à voler des identifiants et des secrets.

« Exécute un programme de vol d’identifiants complet (sur d’autres plateformes) ciblant les clés SSH, les identifiants Git, les identifiants AWS/GCP/Azure, les secrets Kubernetes, les configurations Docker, les identifiants de base de données, l’état Terraform, les portefeuilles cryptographiques (Solana, Bitcoin, Ethereum, Cardano), les clés privées SSL, l’historique du shell, et bien plus encore. », précise le rapport.

Source : StepSecurity

Pour couvrir ses traces et ralentir la réaction de la communauté, le pirate a fait supprimer la discussion GitHub initiale détaillant l’incident. Il a même été jusqu’à utiliser un ensemble de bots pour publier des messages de spams afin de noyer les alertes.

Quoi qu’il en soit, l’objectif de cette attaque est clair : infiltrer les infrastructures des entreprises utilisant Trivy.

L’état actuel de la situation

Suite à ce nouvel incident de sécurité, Aqua Security a dû encore faire du nettoyage : la version v0.69.4 a été supprimée afin de forcer un rollback vers la version v0.69.3, cette dernière étant la version saine la plus récente. Les tags associés à cette attaque ont été supprimés également.

« Les utilisateurs signalent que toutes les balises de version, à l’exception de la v0.2.6, ont été supprimées, ce qui a perturbé les pipelines de CI. », précise le rapport.

Il est à noter que cette version malveillante a été diffusée également dans les dépôts du gestionnaire de paquets Homebrew (macOS). Un retour arrière vers la version v0.69.3 a également été effectué à ce niveau.

Enfin, il est à noter que le domaine malveillant utilisé par les attaquants est associé à l’adresse IP 45.148.10[.]212, ce qui peut orienter vos recherches si vous analysez les connexions réseau. Tous les détails sont disponibles dans le rapport publié par StepSecurity.

Ce qu’il faut savoir

  • Le fait : Trivy a été compromis avec une version malveillante publiée.
  • Qui est concerné : Les utilisateurs de Trivy et les entreprises utilisant cet outil.
  • Quand : Le 19 mars 2026.
  • Où : Global, impactant les utilisateurs de Trivy.

Sources

Source : IT-Connect

Source : StepSecurity

Visuel d’illustration — Source : www.it-connect.fr

Source d’origine : Voir la publication initiale

Date : 2026-03-20 09:07:00 — Site : www.it-connect.fr

Auteur : Cédric Balcon-Hermand — Biographie & projets

Application : Téléchargez Artia13 Actualité (Android)

Notre IA anti-désinformation : Analyzer Fake News (Artia13)

Publié le : 2026-03-20 09:07:00 — Slug : le-scanner-trivy-pirate-une-seconde-fois-attention-au-vol-de-secrets

Hashtags : #scanner #Trivy #piraté #une #seconde #fois #attention #vol #secrets

Partager ici :
Gagnez un salaire à vie avec Vexub
Histoires de réussite
Tags:
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire