Trivy-Angriff: Supply-Chain-Attacke trifft Tausende Entwickler-Pipelines

Ein Angriff auf den beliebten Sicherheitsscanner Trivy hat Tausende CI/CD-Pipelines weltweit infiziert. Die als TeamPCP bekannten Angreifer nutzten gestohlene Zugangsdaten, um über mehrere Tage hinweg manipulierte Versionen der Open-Source-Software zu verbreiten. Die Attacke untergräbt das Vertrauen in grundlegende Sicherheitswerkzeuge der Softwareentwicklung.

Warum 73% der deutschen Unternehmen auf Cyberangriffe wie diesen nicht vorbereitet sind, zeigt die aktuelle Bedrohungslage deutlich. Dieser kostenlose Leitfaden hilft Geschäftsführern, die IT-Sicherheit proaktiv zu stärken und sich vor kostspieligen Infrastruktur-Angriffen zu schützen. Experten-Report zu Cyber-Security-Trends kostenlos herunterladen

Zweite Angriffswelle über Docker Hub

Die Krise eskalierte am vergangenen Wochenende. Nachdem am 19. März erstmals eine kompromittierte Version (0.69.4) aufgetaucht war, identifizierten Sicherheitsforscher von Socket und Wiz am 22. März zwei weitere schadhafte Versionen (0.69.5 und 0.69.6) auf Docker Hub. Diese wurden ohne offizielle Veröffentlichung auf GitHub hochgeladen – ein klarer Warnhinweis.

Docker und der Hersteller Aqua Security entfernten die manipulierten Images am Montag, den 23. März, aus dem öffentlichen Registry. Doch die Schadsoftware, ein sogenannter „TeamPCP Cloud Stealer“, hatte bereits mehrere Stunden lang Zugriff auf automatisierte Systeme, die die neueste Version abriefen. Die letzte als sauber bekannte Version ist 0.69.3.

Die Angreifer hielten sich offenbar trotz erster Gegenmaßnahmen der Maintainer im System. Aqua Security gab am 24. März bekannt, dass die Untersuchung nun darauf abzielt, verbliebene Zugangspfade zu finden. Ein kompromittiertes Dienstkonto soll es den Hackern ermöglicht haben, Sicherheitsbarrieren zu umgehen und nach der ersten Säuberung erneut zuzuschlagen.

So wurde der Sicherheitsscanner zur Gefahr

Die technische Raffinesse der Attacke ist beunruhigend: Sie zielte genau auf die Werkzeuge ab, die die Software-Lieferkette eigentlich sichern sollen. Die Angreifer manipulierten drei Kernkomponenten: die Trivy-Binärdatei, die offizielle GitHub Action (trivy-action) und das Setup-Hilfsskript (setup-trivy).

Durch das gewaltsame Überschreiben von 76 von 77 Version-Tags im Repository aquasecurity/trivy-action sorgten sie dafür, dass fast jede Pipeline, die das Tool über einen Versionstag – und nicht einen spezifischen Commit – aufrief, den schadhaften Code ausführte.

Der eingebettete Info-Stealer arbeitete parallel zum legitimen Scan-Prozess. Während der Scanner normale Schwachstellenberichte ausgab, durchsuchte die Malware im Hintergrund das Dateisystem nach sensiblen Daten: Zugangsdaten für AWS, Google Cloud und Azure, SSH-Schlüssel, Kubernetes-Tokens und Docker-Passwörter. Die Daten wurden über getarnte Kommando-Server exfiltriert.

Eskalation: Angriff auf interne Aqua-Infrastruktur

Am 22. März griff TeamPCP auch die interne GitHub-Organisation aquasec-com von Aqua Security an. In einem etwa zweiminütigen, automatisierten Akt wurden 44 Repositories entstellt und mit einer Besitzererklärung der Hackergruppe versehen.

Diese interne Infiltration ist besonders brisant, da die Organisation proprietären Code und Infrastrukturkonfigurationen beherbergt. Aqua Security betont, dass seine kommerziellen Plattformen architektonisch getrennt seien und keine Hinweise auf einen Zugriff vorlägen. Dennoch zeigt die Aktion das tiefe Eindringungsvermögen der Angreifer in die DevOps-Infrastruktur des Unternehmens.

Branchenweite Auswirkungen und Parallelen zu SolarWinds

Der Vorfall wird von Analysten aufgrund seines massiven Downstream-Potenzials mit der SolarWinds-Kampagne verglichen. Trivy ist in über 10.000 CI/CD-Workflows weltweit integriert und wurde auf Docker Hub über 100 Millionen Mal heruntergeladen. Jede Organisation, die eine kompromittierte Version zog, lud sich damit einen Credential-Stealer in die Entwicklungsumgebung ein.

Der Angriff offenbart fundamentale Schwachstellen: Die bequeme Nutzung von mutable Tags wie latest in Container-Registries und GitHub Actions bietet keine Integritätsgarantie. Die Fähigkeit der Angreifer, fast jeden historischen Tag der Trivy-Action zu manipulieren, zeigt ein kritisches Risiko im Umgang mit Drittanbieter-Abhängigkeiten.

TeamPCP, auch als DeadCatx3 oder ShellForce bekannt, etabliert sich als ernstzunehmender Akteur. Die Gruppe war bereits durch Kubernetes-Ransomware und sich selbst verbreitende Würmer im npm-Ökosystem aufgefallen. Der Trivy-Angriff könnte Teil einer koordinierten Kampagne zur Beschaffung von Zugangsdaten für breit angelegte Infrastruktur-Angriffe sein.

Aktuelle Hacker-Methoden führen zu Rekord-Schäden in Unternehmen, indem sie gezielt technische Schwachstellen und menschliche Faktoren ausnutzen. Erfahren Sie in diesem Experten-Guide, wie Sie Ihre Organisation in 4 Schritten effektiv vor Phishing und Cyber-Angriffen schützen können. Kostenloses Anti-Phishing-Paket zur Hacker-Abwehr sichern

Was Betroffene jetzt tun müssen – und was die Zukunft bringt

Die oberste Priorität für betroffene Organisationen ist die sofortige Rotation aller potenziell gestohlener Zugangsdaten. Da die Malware auf langlebige Credentials abzielte, reicht ein einfaches Update auf eine saubere Trivy-Version nicht aus. Jedes Team, das die Versionen 0.69.4 bis 0.69.6 genutzt hat, sollte seine gesamte CI/CD-Umgebung als kompromittiert betrachten und Cloud-Keys, GitHub-Tokens und private Schlüssel austauschen.

Langfristig wird der Vorfall die Einführung strengerer Sicherheitspraktiken beschleunigen. Dazu gehören:
* Die verbindliche Nutzung von Commit-SHAs oder kryptografischen Digests anstelle von Tags für Third-Party-Actions und Container-Images.
* Eine stärkere Verbreitung „signierter“ Software-Artefakte, deren Signatur in der Pipeline überprüft wird.
* Der Wandel hin zu „Zero-Trust“-CI/CD-Architekturen, in denen ein einzelner kompromittierter Token nicht den umfassenden Zugriff gewährt, den TeamPCP ausnutzte.

Aqua Security stellt tägliche Updates bereit und verstärkt seine CI/CD-Zugangskontrollen. Für die gesamte DevOps-Community ist der Angriff eine deutliche Warnung: Selbst die Werkzeuge, die Schwachstellen aufspüren sollen, können zum Einfallstor für verheerende Sicherheitsverletzungen werden.

boerse | 68974557 |