Le jeudi 19 mars 2026, une version malveillante de Trivy a été publiée par les pirates : v0.69.4. Elle contenait un script permettant de voler des secrets.

Deux incidents de sécurité en trois semaines J’ai envie de dire que le cauchemar continue pour les mainteneurs de Trivy et les utilisateurs de ce scanner de vulnérabilités très populaire. Souvenez-vous : fin février dernier, un bot autonome nommé hackerbot-claw était parvenu à exploiter une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt Trivy. L’outil avait même disparu totalement de GitHub, avant de revenir quelques heures plus tard.

Jeudi 19 mars, un nouvel incident de sécurité a frappé Trivy. Cette fois-ci, c’est une version malveillante qui a été diffusée : v0.69.4. Des investigations menées par StepSecurity et partagées dans un rapport expliquent précisément ce qu’il s’est passé. Tout d’abord, il semblerait que le même acteur soit à l’origine de cette seconde attaque.

“Le système d’automatisation des publications Trivy (aqua-bot) a publié la version v0.69.4, et une balise v0.70.0 a également été brièvement créée. Les binaires de la version v0.69.4 contenaient un code malveillant qui établissait une connexion avec un domaine C2 de type « typosquatting ».”, peut-on lire.