Scanner als Backdoor: Wie Trivy zum Infostealer für GitHub Actions wurde

Es ist die ultimative Ironie der IT-Sicherheit: Trivy, einer der weltweit am häufigsten genutzten Vulnerability-Scanner von Aqua Security, wurde selbst zum Überträger von Malware.

Am 19. März 2026 eskalierte ein Vorfall, der bereits im Februar seinen Lauf nahm.

Das Ergebnis? Wer den Scanner zur Absicherung seiner Pipeline nutzte, hat sich unter Umständen einen hocheffizienten Credential Stealer direkt ins Herz seiner CI/CD-Umgebung geholt.

Der technische Hebel: "hackerbot-claw" schlägt zu

Der Angriff war kein Zufall, sondern das Werk eines KI-gesteuerten Bots namens hackerbot-claw. Dieser scannte gezielt Repositories nach einer bekannten Schwachstelle: Fehlkonfigurationen im pull_request_target-Workflow.

• Token-Diebstahl: Durch einen manipulierten Pull Request gelang es dem Bot, einen Personal Access Token (PAT) mit Schreibrechten zu exfiltrieren.
• Tag-Poisoning: Die Angreifer nutzten diesen Token, um 76 von 77 Release-Tags im Repository aquasecurity/trivy-action rückwirkend auf bösartige Commits umzubiegen (Git Tag Repointing).
• Die bösartige Version: Gleichzeitig wurde die offizielle Trivy-Binary in der Version v0.69.4 mit Malware infiziert und über offizielle Kanäle (GitHub, Docker Hub, ECR) verteilt.

Was die Malware im Verborgenen tat

Anstatt Schwachstellen zu finden, begann der infizierte Scanner sofort mit der Arbeit für die Angreifer. Der Multi-Stage-Stealer scannte den Prozessspeicher der GitHub-Runner nach Secrets, suchte das Dateisystem nach SSH-Keys, Kubernetes-Tokens und Cloud-Credentials ab und schickte die Beute an einen C2-Server.

Da der "echte" Scan danach oft normal weiterlief, blieb der Breach in vielen Pipelines tagelang unbemerkt.

Betroffene Versionen & Komponenten

• Trivy Binary: Version v0.69.4 (Zeitfenster: 19. März, ca. 18:22 bis 21:42 UTC).
• GitHub Actions: Fast alle Tags von aquasecurity/trivy-action und aquasecurity/setup-trivy.
• Sichere Häfen: Die Versionen v0.69.3 (Binary) und v0.35.0 (Action) gelten als sauber.

Das Versagen der "Secret Rotation"

Aqua Security hatte nach einem ersten Vorfall Ende Februar bereits verkündet, die Secrets rotiert zu haben. Dass der zweite Schlag am 19. März so vernichtend ausfallen konnte, zeigt: Rotation ist wertlos, wenn sie nicht atomar und lückenlos erfolgt. Die Angreifer hatten sich vermutlich bereits neue Token gesichert, bevor die alten ungültig waren.

Für uns als Tech-Community ist das ein Weckruf. Wer heute noch auf mutable Tags wie @v1 oder @master in seinen GitHub Actions setzt, spielt russisches Roulette. In einer Welt, in der KI-Bots wie "hackerbot-claw" automatisiert nach kleinsten Lücken suchen, ist das Vertrauen auf "bekannte Namen" gefährlich.

Unser Fazit

Der Trivy-Breach ist ein Desaster für das Vertrauen in Open-Source-Security-Tools. Wer am 19. März Scans durchgeführt hat, muss davon ausgehen, dass alle Secrets der betroffenen Pipelines kompromittiert sind.

Handlungsempfehlung: Sofort auf sichere Versionen (v0.69.3) zurückkehren, auf SHAs pinnen und – so schmerzhaft es ist – alle betroffenen API-Keys und Tokens rotieren.