Secrails LogoSECRAILS
Secrails LogoSECRAILS
Anmelden
Zurück zum BlogCybersecurity-Einblicke

Trivy kompromittiert: Was der Supply-Chain-Angriff auf ein vertrauenswürdiges Sicherheitstool für Ihre Pipeline bedeutet

secrails··10 Min.
Supply Chain SecurityContainer Image ScanningSASTVulnerability ManagementDevSecOps
Visualisierung eines Supply-Chain-Angriffs auf Trivy mit kompromittierten CI/CD-Pipeline-Warnindikatoren auf dunklem Hintergrund

Wenn das Werkzeug, das nach Bedrohungen sucht, selbst zur Bedrohung wird

Trivy ist einer der am weitesten verbreiteten Open-Source-Vulnerability-Scanner der Welt. Gepflegt von Aqua Security, ist er in Tausende von CI/CD-Pipelines für Container-Image-Scanning, Dateisystemanalyse und SBOM-Generierung integriert. Es ist das Werkzeug, dem man implizit vertraut — schließlich scannt es eigene Images auf die Schwachstellen anderer.

Was passiert also, wenn Trivy selbst zum Supply-Chain-Angriffsvektor wird? Das ist keine Hypothese. Anfang 2026 setzte ein gezielter Angriff auf den trivy-action GitHub Actions Workflow Organisationen, die automatisierte Sicherheitsscans durchführten, erheblichen Risiken aus: Anmeldedatendiebstahl, Pipeline-Manipulation und stille Scan-Unterdrückung waren die Folge. Der Vorfall ist ein Lehrbuchbeispiel dafür, warum Vertrauen in einen Toolnamen nicht dasselbe ist wie Vertrauen in seine Integrität zur Laufzeit.

Dieser Beitrag erläutert, was passiert ist, wie der Angriff technisch funktioniert hat, und welche defensiven Maßnahmen wirklich wichtig sind. Nicht theoretische. Praktische, die Sie diese Woche umsetzen können.

Was ist Trivy und warum ist es hier relevant

Trivy führt statische Analysen von Container-Images, Git-Repositories, Dateisystemen, Kubernetes-Clustern und Cloud-Konfigurationen durch. Seine GitHub Action — aquasecurity/trivy-action — ist in CI/CD-Pipelines von Unternehmen verankert, die alles von Fintech-Workloads bis hin zu kritischer Infrastruktur betreiben. Die Action wurde über 4.000 Mal geforkt und wird in Millionen von Workflow-Läufen pro Monat referenziert.

Genau diese Allgegenwärtigkeit macht sie zu einem attraktiven Ziel. Wird eine weit verbreitete GitHub Action kompromittiert, hat man einen Fuß in den Pipelines von Organisationen, die niemals auf eine Phishing-E-Mail hereinfallen würden, aber bereitwillig eine ungepinnte Action-Referenz aus einem öffentlichen Registry ziehen. Die Angriffsfläche ist nicht der Scanner selbst — es ist die Vertrauensbeziehung zwischen dem Tool und der Pipeline, die es nutzt.

Der Trivy-Sicherheitsvorfall: Was wir wissen

Der Vorfall folgte einem Muster, das MITRE ATT&CK unter T1195.001 kategorisiert. Ein Angreifer erhielt Schreibzugriff auf eine Abhängigkeit des trivy-action-Workflows. Anstatt Trivys Kernbinärdatei zu modifizieren — was Hash-Verifizierungsfehler ausgelöst hätte — injizierte der Angreifer schädliche Logik auf der Workflow-Orchestrierungsebene, speziell im Einstiegspunkt-Skript der Action.

Das Payload war subtil. Es ließ Scans nicht abstürzen und produzierte keine offensichtlich falschen Ergebnisse. Stattdessen schleusten es Umgebungsvariablen — einschließlich Secrets — über DNS-Exfiltration an eine vom Angreifer kontrollierte Domain aus. Organisationen, die Standard-Muster zur GitHub Actions Secret-Injektion verwenden, waren direkt exponiert, wenn diese Secrets im Scope des Runners waren.

Das sekundäre Payload war möglicherweise noch gefährlicher: selektive Scan-Unterdrückung. Für bestimmte Image-Digests gab die Action saubere Ergebnisse zurück — unabhängig von den tatsächlichen Schwachstellenbefunden. Das Tool meldete, alles sei in Ordnung. War es aber nicht.

Die technische Anatomie des Angriffs

Schritt 1: Ungepinnte Referenzen

Der erste Vektor nutzte die gängige Praxis, GitHub Actions per Tag statt per Commit-SHA zu referenzieren. Tags sind veränderlich. Ein Angreifer mit Schreibzugriff kann ein Tag auf einen anderen Commit verschieben, ohne dass nachgelagerte Konsumenten es bemerken. Die Lösung ist trivial: auf eine vollständige Commit-SHA pinnen.

Schritt 2: Secret-Exfiltration via DNS-Tunneling

Das schädliche Skript zählte die für den Runner verfügbaren Umgebungsvariablen auf. Der Exfiltrationsmechanismus nutzte DNS-Abfragen, die Secret-Werte als Subdomainlabels codierten. DNS-Verkehr erhält selten die gleiche Prüfung wie HTTP/S-Egress.

Schritt 3: Ergebnismanipulation

Die Action rief eine Remote-JSON-Konfigurationsdatei vom Angreifer-CDN ab. Für Images, deren Digest mit einem Eintrag in der Sperrliste übereinstimmte, schrieb die Action eine leere SARIF-Ergebnisdatei. CI/CD-Pipelines sahen null Befunde — ein sauberes Sicherheitsattest für potenziell anfällige Images.

Defensive Maßnahmen, die wirklich funktionieren

Actions auf Commit-SHAs pinnen

Nicht verhandelbar. Jede GitHub Action in Ihren Workflows sollte auf eine unveränderliche Commit-SHA verweisen. Diese einzelne Kontrolle hätte den Trivy-Vorfall neutralisiert.

Scanner-Output unabhängig validieren

Verwenden Sie niemals einen einzigen Scanner als harte Produktions-Gate. Container Image Scanning auf Plattformebene bietet die nötige Unabhängigkeit.

Runner-Berechtigungen aggressiv einschränken

Ausgehender Netzwerkzugriff von Runnern sollte über einen Egress-Proxy gefiltert werden, der DNS-Abfragen protokolliert. Vulnerability Management Programme, die CI/CD-Pipeline-Sicherheit als in-scope behandeln, erkennen Verhaltensabweichungen frühzeitig.

Supply-Chain-Sicherheit 2026

CISAs 2026 Secure Software Supply Chain-Leitfaden nennt CI/CD-Tooling als Hochrisikokomponentenkategorie. Policy-as-Code-Durchsetzung kann diese Kontrollen automatisch in Ihre Pipeline-Governance kodifizieren. SAST-Tooling kann auch Workflow-Dateien selbst auf Sicherheitsfehlkonfigurationen scannen — ungepinnte Actions und unsichere Secret-Handhabungsmuster abfangen, bevor sie den Hauptbranch erreichen.

Vertrauen in Ihre Scanning-Infrastruktur wiederherstellen

Die richtige Antwort nach einem Vorfall ist eine Sicherheitsarchitektur, bei der die Kompromittierung eines einzigen Tools nicht die gesamte Erkennungsfähigkeit stumm schalten kann. Secret Detection sollte unabhängig von Trivy laufen, nicht als Plugin darin.

Frequently Asked Questions

Was ist der Trivy-Sicherheitsvorfall und welche Organisationen sind betroffen?

Der Trivy-Sicherheitsvorfall bezieht sich auf eine gezielte Kompromittierung des trivy-action GitHub Actions Workflows Anfang 2026, bei der ein Angreifer schädliche Logik injiziert hat, die Secrets exfiltrieren und Scan-Ergebnisse unterdrücken konnte. Jede Organisation, die die ungepinnte trivy-action in CI/CD-Pipelines verwendet hat, sollte für den Runner zugängliche Secrets als potenziell kompromittiert betrachten und Anmeldedaten sofort rotieren.

Wie verhindert das Pinnen einer GitHub Action auf eine Commit-SHA Supply-Chain-Angriffe?

Git-Tags sind veränderlich — ein Angreifer mit Repository-Schreibzugriff kann ein Tag still auf einen anderen schädlichen Commit verschieben. Das Pinnen auf eine vollständige 40-Zeichen-Commit-SHA erstellt eine unveränderliche Referenz, die kryptografisch einen spezifischen Code-Baum identifiziert. Jede Abweichung lässt den Workflow sichtbar fehlschlagen, anstatt schädlichen Code still auszuführen.

Was ist der Unterschied zwischen einem Supply-Chain-Angriff und einem direkten Einbruch?

Eine direkte Intrusion zielt spezifisch auf Ihre Systeme ab — durch Phishing, Ausnutzen von Schwachstellen oder Brute-Forcing. Ein Supply-Chain-Angriff kompromittiert eine Abhängigkeit, der Sie bereits vertrauen, was dem Angreifer indirekten Zugang verschafft. Supply-Chain-Angriffe skalieren dramatisch: Ein kompromittiertes Paket kann gleichzeitig Tausende von Organisationen betreffen, weshalb die durchschnittlichen Behebungskosten laut IBM 28% höher sind.

Wie kann DNS-Exfiltration von CI/CD-Runnern erkannt und verhindert werden?

Die Erkennung erfordert das Protokollieren aller ausgehenden DNS-Abfragen aus der Runner-Umgebung und das Etablieren normaler Abfragemuster. Anomale Abfragen an neu registrierte Domains oder Domains mit ungewöhnlich langen Subdomains sind starke Indikatoren für DNS-Tunneling. Prävention umfasst das Routing des DNS-Traffics durch einen kontrollierten Resolver, der unbekannte Domains blockiert.

Was sollten Organisationen sofort tun, wenn sie feststellen, dass ihre trivy-action während des Vorfallszeitraums ungepinnt war?

Die sofortige Reaktion sollte sein: Erstens alle Secrets rotieren, die im Scope eines Runners lagen, der die ungepinnte Action ausgeführt hat. Zweitens alle Container-Images, die im betroffenen Zeitraum saubere Scan-Ergebnisse erhalten haben, gegen einen unabhängigen Scanner prüfen. Drittens die Action auf eine verifizierte Commit-SHA pinnen und Egress-Filterung auf allen Runnern implementieren. Viertens überprüfen, ob Produktions-Deployments ausschließlich auf Trivy-Ergebnissen basierten.

Lassen Sie keinen kompromittierten Scanner Ihre Pipeline blenden

Secrails bietet unabhängiges Container-Image-Scanning außerhalb Ihres CI/CD-Workflows — damit eine kompromittierte Action Ihre Ergebnisse nicht manipulieren kann.

Container-Scanning entdecken