Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert

Summary

Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert Ein Angreifer hat Malware in den Schwachstellenscanner Trivy sowie über 140 NPM-Pakete eingeschleust. Er sammelt Daten und richtet Backdoors ein. 23. März 2026 um 13:21 Uhr / Marc Stöckel Ein Angreifer hat Schadcode in mehrere Softwareprojekte eingeschleust. Bild: pexels.com/Markus Spiske Inhalt Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert Vertrauliche Daten im Visier Sicherheitsforscher haben wieder einmal eine Schadsoftware entdeckt, die sich seit einigen Tagen im NPM-Ökosystem ausbreitet. Aufgefallen ist die Angriffskampagne zuerst bei dem von Aqua Security entwickelten Schwachstellenscanner Trivy. Forscher haben mittlerweile über 140 NPM-Pakete identifiziert, die ebenfalls von dem gleichen Angreifer kompromittiert worden sein sollen. Die Kompromittierung von Trivy erfolgte laut einem Blogbeitrag von Wiz(öffnet im neuen Fenster) am 19. März. Ein Angreifer, der sich selbst TeamPCP nennt, schleuste demnach eine Infostealer-Malware in das Projekt ein, die unter anderem Zugangsdaten sammelt und ausleitet. Als kompromittiert gelten(öffnet im neuen Fenster) die Trivy-Version 0.69.4 sowie mehrere Versionen der Github-Actions trivy-action und setup-trivy. Aqua Security empfiehlt Nutzern in einem Blogbeitrag(öffnet im neuen Fenster) , auf sichere Versionen des Tools zu wechseln. Bei der Trivy-Binary gelten die Versionen 0.69.2 und 0.69.3 als sicher, bei trivy-action die Version 0.35.0 und bei setup-trivy die Version 0.2.6. Wer eine der kompromittierten Versionen im Einsatz hatte, sollte zudem dringend alle Anmeldedaten rotieren, die auf seinen Systemen zugänglich sind. Auch Docker-Images betroffen Darüber hinaus entdeckten Sicherheitsforscher von Socket(öffnet im neuen Fenster) kürzlich Docker-Images auf Docker Hub, die ebenfalls kompromittierte Trivy-Versionen mit den Versionsnummern 0.69.5 und 0.69.6 enthalten, zu denen jedoch keine passenden Github-Releases vorliegen. Auch do...