Trivy遭供应链攻击：76个版本标签被篡改

2026年2月底，一个配置失误让全球使用量最高的开源漏洞扫描器之一，变成了攻击者的钓鱼竿。

Aqua Security旗下的Trivy扫描器遭遇供应链攻击，攻击者利用窃取的凭证篡改了76个版本标签，并向CI/CD（持续集成/持续交付）管道植入恶意代码。这不是理论上的风险演示——恶意版本已被下载执行，敏感凭证正在外泄。

攻击时间线：从配置失误到全面沦陷

攻击起点是Trivy的GitHub Actions环境。2月底，攻击者利用一处配置错误，提取了一个高权限访问令牌。

3月1日，Trivy团队披露事件并执行了凭证轮换。但轮换不彻底——部分凭证仍然有效，攻击者保留了残余访问权限。

18天后，攻击升级。3月19日，攻击者强制推送恶意提交到aquasecurity/trivy-action仓库的76个版本标签（共77个），以及aquasecurity/setup-trivy的全部7个标签。同时，一个被入侵的服务账户触发了自动发布流程，将植入后门的Trivy二进制文件标记为0.69.4版本发布。

攻击者的策略很刁钻：不是发布一个明显可疑的新版本，而是篡改现有版本标签。这意味着正在使用这些标签的企业，会在毫无察觉的情况下执行恶意代码。

恶意载荷：藏在扫描之前的窃密程序

恶意代码的设计堪称"寄生式"。它在合法Trivy扫描逻辑之前执行，让受感染的工作流看起来完全正常——扫描完成，报告生成，一切如常。

但在这一层正常表象之下，恶意程序正在疯狂收集CI/CD环境中的敏感信息。目标清单包括：API令牌、AWS/GCP/Azure三大云平台的凭证、SSH密钥、Kubernetes令牌、Docker配置文件。

收集完成后，数据被外传至攻击者控制的基础设施。

Aqua Security确认，此次攻击明确针对依赖可变版本标签的开源用户，而非使用固定提交哈希（commit hash）的企业。换句话说，那些图省事直接写v0.69.4的团队，比写a1b2c3d的团队风险高出数个量级。

商业产品与开源项目的"隔离墙"

一个值得注意的细节：Aqua Security的商业产品未受影响。

官方解释称，商业平台在架构上与被入侵的开源环境完全隔离，拥有独立的管道、严格的访问控制，以及一个刻意滞后于开源发布的集成流程。这种"慢半拍"的设计，在此次事件中成了安全缓冲带。

3月21日至22日的周末，调查发现了更多可疑活动——攻击者试图重新建立访问，表明这是一场持续进行的战役，而非一次性打击。

目前的修复措施包括：从GitHub Releases、Docker Hub、Amazon ECR等分发渠道移除所有恶意发布；全面撤销各环境中的凭证；弃用长期有效的令牌；正在实施不可变发布验证机制。

Aqua Security正与全球应急响应公司Sygnia合作处理后续。

你的CI/CD管道里，有多少工具还在用可变标签？