Hackers comprometieron prácticamente todas las versiones del escáner de vulnerabilidades Trivy de Aqua Security mediante un ataque de cadena de suministro con credenciales robadas y push forzados de git. El atacante sobrescribió tags de trivy-action y setup-trivy con dependencias maliciosas, exponiendo potencialmente miles de pipelines de desarrollo. Trivy tiene más de 33,200 estrellas en GitHub y se usa extensamente. Los equipos de seguridad deben considerar sus pipelines comprometidos y rotar todos los secretos.