Aqua Security (Trivy) 19 de marzo de 2026

Compromiso de Supply Chain en GitHub Actions de Trivy: Ataque de "Force-Push" a Tags Expone Secretos de CI/CD

10K

usuarios afectados

security

causa raíz

Timeline del incidente

2026-03-19 19:15 UTC · Socket (AI scanner)

Primera detección de actividad sospechosa por Socket, asociada a GitHub Actions maliciosas.

2026-03-20 · Paul McCarty / Atacante

Divulgación inicial del ataque, enfocándose en Trivy v0.69.4. Se identifica que un atacante forzó el push de 75 de 76 tags de versión en el repositorio aquasecurity/trivy-action.

2026-03-20 · Mantenedores de Trivy

Confirmación de que el ataque fue posible por una credencial comprometida con acceso de escritura al repositorio, resultado de una brecha anterior en marzo donde las credenciales no se rotaron atómicamente.

2026-03-22 · Socket

Identificación de artefactos Trivy comprometidos adicionales en Docker Hub (imágenes 0.69.5 y 0.69.6, además de 0.69.4) conteniendo el mismo payload infostealer.

Análisis técnico

Este incidente representa un sofisticado ataque a la cadena de suministro que explotó una credencial comprometida para manipular tags de Git en el repositorio oficial de GitHub Actions de Trivy. La causa raíz fue la persistencia de acceso de un atacante a credenciales válidas, a pesar de una rotación de secretos previa, lo que indica una falla en la atomicidad o exhaustividad del proceso de revocación de acceso tras una brecha inicial.

El atacante utilizó una técnica ingeniosa de "force-push" en 75 tags de versión existentes, en lugar de crear nuevas ramas o releases. Esto permitió inyectar un payload malicioso (un infostealer) en el entrypoint.sh de la acción, mientras que el resto del árbol de archivos se basó en el HEAD de master. La metadata de los commits fue cuidadosamente falsificada para que pareciera legítima, lo que dificultó la detección a simple vista. Las salvaguardas como las firmas GPG de GitHub y los contadores de commits en la UI de releases fallaron en alertar a los usuarios de manera efectiva debido a la naturaleza de la manipulación de tags y la falsificación de la metadata.

El payload malicioso fue diseñado para ejecutarse en entornos de CI/CD, priorizando la exfiltración de secretos. En runners alojados por GitHub (Linux), el malware escaló privilegios usando sudo para volcar la memoria del proceso Runner.Worker y extraer secretos en el formato interno de GitHub Actions. En otros entornos, empleó un recolector de credenciales basado en el sistema de archivos. La exfiltración se realizó a un dominio de typosquatting (scan.aquasecurtiy.org) con un canal de fallback resiliente que creaba un repositorio público en la cuenta de GitHub de la víctima para almacenar los datos cifrados, aprovechando PATs con scope de usuario. La sofisticación del ataque y la atribución a TeamPCP (DeadCatx3) subrayan la amenaza persistente de actores especializados en entornos cloud-native.

Remediaciones y action items

✓ Rotación inmediata de todos los secretos, credenciales cloud, claves SSH, tokens API, contraseñas de bases de datos y tokens de Docker registry accesibles por cualquier pipeline que ejecutó un tag envenenado.
✓ Auditoría de las organizaciones de GitHub para detectar repositorios `tpcp-docs` creados por el fallback del malware.
✓ Revisión de los logs de GitHub Actions para cualquier ejecución de `trivy-action` después del 19 de marzo de 2026, 19:00 UTC.
✓ Actualización de la documentación y las recomendaciones de seguridad para enfatizar el pinning de GitHub Actions a SHAs de commit completos en lugar de tags de versión, para garantizar la inmutabilidad.
✓ Implementación de procesos de rotación de credenciales atómicos y exhaustivos que garanticen la revocación completa de accesos tras cualquier compromiso.

Lecciones para arquitectos

→ La inmutabilidad de los artefactos de software es crítica; los tags de Git no son inherentemente inmutables y pueden ser manipulados.
→ Las credenciales con permisos de escritura en repositorios de código fuente son objetivos de alto valor y deben protegerse con los más altos estándares.
→ Los procesos de respuesta a incidentes deben incluir una revocación de acceso exhaustiva y atómica para evitar la persistencia de acceso de atacantes.
→ La confianza en la cadena de suministro de software requiere una verificación profunda de los componentes, incluso cuando se utilizan referencias de versión aparentemente estables.
→ Los sistemas de monitoreo deben ser capaces de detectar anomalías sutiles en la metadata de Git, como firmas GPG faltantes o padres de commits inconsistentes.
→ La segmentación de privilegios (least privilege) es fundamental; los tokens de acceso personal (PATs) con amplios scopes de usuario son un riesgo significativo si se exponen.
→ Los canales de exfiltración de datos pueden ser altamente resilientes, utilizando infraestructura de terceros confiable como GitHub para evadir la detección.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp