CVE-2026-33634

Nome do Software Vulnerável e Versões Afetadas aquasecurity/trivy versão 0.69.4 aquasecurity/trivy versões 0.69.5 a 0.69.6 aquasecurity/trivy-action versões 0.0.1 a 0.34.2 aquasecurity/setup-trivy versões 0.2.0 a 0.2.6

Description Ocorreu um ataque à cadeia de suprimentos no qual um ator de ameaça utilizou credenciais comprometidas para publicar versões maliciosas do scanner de segurança Trivy e suas GitHub Actions associadas. O invasor publicou um lançamento malicioso do binário e da imagem de container do Trivy, e realizou force-push de commits maliciosos em tags de versão das ações aquasecurity/trivy-action e aquasecurity/setup-trivy. O código malicioso funciona como um infostealer que é executado antes da varredura legítima, despejando a memória do processo Runner.Worker via /proc/<pid>/mem e vasculhando o sistema de arquivos em busca de chaves SSH, credenciais de nuvem (AWS, GCP, Azure), tokens do Kubernetes, configurações do Docker, arquivos .env, credenciais de banco de dados e carteiras de criptomoedas. Os dados roubados são criptografados usando AES-256-CBC com criptografia híbrida RSA-4096 e transmitidos para a infraestrutura controlada pelo invasor. Se a exfiltração primária falhar e a variável INPUT GITHUB PAT estiver configurada, o malware cria um repositório público chamado tpcp-docs na conta do GitHub da vítima para fazer o upload dos dados roubados. Esta campanha afetou mais de 1.000 ambientes SaaS, incluindo a plataforma Europa da Comissão Europeia no AWS.

Recommendations Atualize o aquasecurity/trivy para a versão 0.69.2 ou 0.69.3. Atualize o aquasecurity/trivy-action para a versão 0.35.0, ou use tags com prefixo v (ex: v0.34.0) para versões anteriores a 0.35.0. Atualize o aquasecurity/setup-trivy para a versão 0.2.6. Rotacione imediatamente todos os segredos acessíveis aos pipelines afetados caso uma versão comprometida tenha sido executada. Remova quaisquer artefatos afetados do Trivy v0.69.4 do ambiente. Revise os logs de execução de fluxos de trabalho de 19 a 20 de março de 2026 para quaisquer workflows que utilizem aquasecurity/trivy-action ou aquasecurity/setup-trivy que referenciem tags de versão em vez de SHAs de commit completos. Verifique a presença de repositórios chamados tpcp-docs na organização do GitHub. Fixe as GitHub Actions em hashes SHA de commit completos e imutáveis em vez de usar tags de versão mutáveis.