{"id":319,"date":"2026-03-20T19:52:19","date_gmt":"2026-03-20T19:52:19","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/20\/acciones-de-github-de-trivy-security-scanner-violadas-75-etiquetas-secuestradas-para-robar-secretos-de-ci-cd-cyberdefensa-mx\/"},"modified":"2026-03-20T19:52:19","modified_gmt":"2026-03-20T19:52:19","slug":"acciones-de-github-de-trivy-security-scanner-violadas-75-etiquetas-secuestradas-para-robar-secretos-de-ci-cd-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/20\/acciones-de-github-de-trivy-security-scanner-violadas-75-etiquetas-secuestradas-para-robar-secretos-de-ci-cd-cyberdefensa-mx\/","title":{"rendered":"Acciones de GitHub de Trivy Security Scanner violadas, 75 etiquetas secuestradas para robar secretos de CI\/CD \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Trivy, un popular esc\u00e1ner de vulnerabilidades de c\u00f3digo abierto mantenido por Aqua Security, se vio comprometido por segunda vez en el lapso de un mes para entregar malware que robaba secretos confidenciales de CI\/CD.<\/p>\n

El \u00faltimo incidente afect\u00f3 a GitHub Actions \u00abaquasecurity\/trivy-acci\u00f3n<\/a>\u00bb y \u00abaquasecurity\/configuraci\u00f3n-trivy<\/a>\u00ab, que se utilizan para escanear im\u00e1genes del contenedor Docker en busca de vulnerabilidades y configurar el flujo de trabajo de GitHub Actions con una versi\u00f3n espec\u00edfica del esc\u00e1ner, respectivamente.<\/p>\n

\u00abIdentificamos que un atacante forz\u00f3 75 de 76 etiquetas de versi\u00f3n en el repositorio aquasecurity\/trivy-action, la acci\u00f3n oficial de GitHub para ejecutar an\u00e1lisis de vulnerabilidades de Trivy en canales de CI\/CD\u00bb, dijo el investigador de seguridad de Socket, Philipp Burckhardt. dicho<\/a>. \u00abEstas etiquetas se modificaron para servir una carga maliciosa, convirtiendo efectivamente las referencias de versiones confiables en un mecanismo de distribuci\u00f3n para un ladr\u00f3n de informaci\u00f3n\u00bb.<\/p>\n

La carga \u00fatil se ejecuta dentro de los ejecutores de GitHub Actions y tiene como objetivo extraer valiosos secretos de desarrollador de entornos CI\/CD, como claves SSH, credenciales para proveedores de servicios en la nube, bases de datos, Git, configuraciones de Docker, tokens de Kubernetes y billeteras de criptomonedas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El desarrollo<\/a> Marca el segundo incidente en la cadena de suministro que involucra a Trivy. Hacia finales de febrero y principios de marzo de 2026, un robot aut\u00f3nomo llamado hackerbot-claw aprovech\u00f3 un flujo de trabajo \u00abpull_request_target\u00bb para robar un token de acceso personal (PAT), que luego se utiliz\u00f3 como arma para tomar el control del repositorio de GitHub, eliminar varias versiones de lanzamiento y enviar dos versiones maliciosas de su extensi\u00f3n Visual Studio Code (VS Code) a Open VSX.<\/p>\n

La primera se\u00f1al del compromiso fue marcado<\/a> por el investigador de seguridad Paul McCarty despu\u00e9s de que se publicara una nueva versi\u00f3n comprometida (versi\u00f3n 0.69.4) en el repositorio de GitHub \u00abaquasecurity\/trivy\u00bb. Desde entonces, la versi\u00f3n fraudulenta ha sido eliminada. De acuerdo a Fen\u00f3meno<\/a>la versi\u00f3n 0.69.4 inicia tanto el servicio leg\u00edtimo Trivy como el c\u00f3digo malicioso responsable de una serie de tareas:<\/p>\n