Am 31. März 2026 wurde ein weitreichender Supply-Chain-Angriff auf GitHub-Repositories bekannt. Über 300 Repos wurden im Rahmen des Vorfalls geklont, darunter Code, der mit KI-Produkten in Verbindung steht, sowie Konfigurationen, die Zugang zu produktiven Kundenumgebungen ermöglichen. Der Angriffsvektor: eine kompromittierte Instanz des Open-Source-Schwachstellenscanners Trivy.
Was passiert ist
Trivy, entwickelt von Aqua Security, ist eines der meistgenutzten Open-Source-Tools für Container- und Infrastruktur-Scanning. Es wird von tausenden Unternehmen in CI/CD-Pipelines eingesetzt, um Schwachstellen in Docker-Images, Kubernetes-Manifesten und IaC-Templates (Terraform, CloudFormation) zu erkennen.
Der Angriff nutzte eine kompromittierte GitHub Action, die in der Trivy-Scan-Pipeline eingebettet war. Die manipulierte Action hatte Zugriff auf die GitHub-Tokens der Repositories, in denen sie ausgeführt wurde. Mit diesen Tokens konnten die Angreifer:
- Repository-Inhalte klonen (Source Code, Konfigurationsdateien, Secrets)
- Auf verknüpfte CI/CD-Secrets zugreifen (API-Keys, Cloud-Credentials)
- In einigen Fällen: Zugang zu produktiven Cloud-Umgebungen erlangen
Betroffen sind nach aktuellem Kenntnisstand über 300 Repositories bei verschiedenen Organisationen. Die genaue Liste wird aus Sicherheitsgründen nicht veröffentlicht.
Warum das besonders kritisch ist
Der Angriff trifft einen Nerv: Security-Tools als Angriffsvektor. Trivy wird eingesetzt, um Software sicherer zu machen. Wenn das Sicherheitstool selbst kompromittiert ist, entsteht ein Vertrauensproblem, das über den einzelnen Vorfall hinausgeht.
Dazu kommt: Viele der betroffenen Repositories enthalten KI-bezogenen Code. In einer Zeit, in der KI-Modelle und -Pipelines zunehmend geschäftskritisch sind, bedeutet ein Leak von Trainings-Pipelines, Modell-Konfigurationen oder Inference-Endpunkten ein erhebliches Risiko. Angreifer könnten:
- Modelle reverse-engineeren oder klonen
- Trainings-Daten extrahieren (Privacy-Risiko)
- Inference-Endpunkte manipulieren (Model Poisoning)
- Kundendaten über kompromittierte API-Keys abgreifen
Sofortmassnahmen
Wer Trivy in GitHub Actions einsetzt, sollte sofort:
- Alle GitHub Action Runs der letzten 14 Tage prüfen: Welche Actions liefen mit welchen Permissions? Wurden Tokens exponiert?
- Alle Secrets rotieren: API-Keys, Cloud-Credentials, Datenbank-Passwörter, die in betroffenen Repos als CI/CD-Secrets hinterlegt waren.
- GitHub Action Pinning: Actions nicht per Branch-Tag (z.B. @main) referenzieren, sondern per SHA-Hash. Das verhindert, dass eine manipulierte Version automatisch in die Pipeline rutscht.
- Trivy-Version prüfen: Aqua Security hat eine bereinigte Version veröffentlicht. Auf die neueste Version aktualisieren und Checksummen verifizieren.
- Audit-Logs prüfen: GitHub bietet Audit-Logs für Organisation-Repos. Prüfen, ob unbekannte Clone-Operationen stattgefunden haben.
Die grössere Lektion
Dieser Vorfall reiht sich in eine wachsende Liste von Supply-Chain-Angriffen ein: SolarWinds (2020), Log4j (2021), 3CX (2023), XZ Utils (2024). Das Muster ist immer gleich: Angreifer kompromittieren ein vertrauenswürdiges Tool in der Lieferkette und nutzen das Vertrauen, das Unternehmen in dieses Tool setzen.
Die Konsequenz: Zero Trust gilt nicht nur für Netzwerke und Benutzer, sondern auch für die eigene Build-Pipeline. Jede externe Dependency, jede GitHub Action, jeder Scanner ist ein potenzieller Angriffsvektor. Wer das nicht systematisch absichert (Pinning, SBOM, Signaturen, minimale Permissions), spielt russisches Roulette mit der eigenen Codebasis.
Quellen: Tech News Day, Aqua Security Advisory, GitHub Security Blog, CISA Alert.