Trivy被黑3周：76个版本标签遭篡改

2026年3月19日，全球下载量超3亿次的开源漏洞扫描器Trivy（特里维）遭遇了一场教科书级别的供应链攻击。攻击者没有发布可疑的新版本，而是直接篡改了76个历史版本标签——这意味着无数企业正在运行的"安全扫描"流程，实际上成了密钥收割机。

攻击时间线：从2月泄露到3月爆发

这场攻击的起点要追溯到2026年2月底。攻击者利用Trivy的GitHub Actions环境配置错误，提取了一个高权限访问令牌。GitHub Actions是开发者常用的自动化工作流平台，这个令牌相当于拿到了仓库的"万能钥匙"。

3月1日，Aqua Security（Trivy的母公司）发现了异常并公开披露，同时执行了凭证轮换。但关键失误在于：轮换不彻底，部分凭证仍然有效。这就像换了大门钥匙，却忘了换后门钥匙。

18天的静默期后，攻击者在3月19日发起总攻。他们向aquasecurity/trivy-action仓库的76个版本标签强制推送恶意提交，同时污染了aquasecurity/setup-trivy的全部7个标签。更隐蔽的是，一个被入侵的服务账户触发了自动发布流程，将后门程序打包成0.69.4版本正式发布。

攻击者的高明之处：不造新版本，只改旧标签。大多数企业为了稳定性，会锁定类似@v0.20.0这样的版本标签而非具体提交哈希。攻击者正是利用这一点，让恶意代码神不知鬼不觉地进入正在运行的CI/CD流水线。

恶意载荷的设计堪称精密。它在合法Trivy扫描逻辑执行前先行启动，因此整个工作流看起来正常完成，日志里没有任何报错。但在后台，它正在疯狂收集：AWS/GCP/Azure的云凭证、API令牌、SSH密钥、Kubernetes令牌、Docker配置文件——几乎所有能拿到的敏感信息，都被传送到攻击者控制的服务器。

谁中招了？开源用户的"便利陷阱"

Aqua Security明确确认：商业付费产品完全未受影响。其企业版与开源版在架构上物理隔离，拥有独立流水线、严格访问控制，且版本发布滞后于开源版。这形成了一种讽刺的"安全分层"——免费用户反而暴露在更高风险中。

真正被精准打击的是一类使用习惯：依赖可变版本标签（如@latest或@v0.20）而非固定提交哈希（如@abc123def）。前者方便自动更新，后者安全但需要手动维护。攻击者显然研究过目标用户的行为模式。

3月21日至22日的周末，调查出现了更令人不安的发现：攻击者正在尝试重新建立访问通道。这表明这不是一次性的入侵，而是一场持续战役。Aqua Security已联合全球应急响应公司Sygnia（西格尼亚）展开全面反击。

目前的补救措施包括：从GitHub Releases、Docker Hub、Amazon ECR等所有分发渠道下架恶意版本；全环境凭证吊销；废除长期有效令牌，转向短期凭证；以及正在部署的不可变发布验证机制。

供应链攻击的"新常态"

Trivy事件并非孤例。2024年的XZ Utils后门、2023年的3CX供应链攻击，都在证明同一个趋势：攻击者正在向上游迁移。与其攻破一万个终端，不如污染一个被广泛依赖的工具。

CI/CD流水线是现代软件生产的"高速公路"，而Trivy这类安全扫描器是每条高速必设的"安检站"。当安检站本身被植入后门，通过的车辆越多，泄露的货物越贵重。

Aqua Security建议所有用户立即检查：是否使用了2026年3月19日至22日期间下载的Trivy版本？工作流配置中是否使用了版本标签而非提交哈希？环境变量和密钥是否在近期出现异常访问记录？

但一个更深层的问题悬而未决：当安全工具本身成为攻击向量，企业该如何重新设计信任边界？