Pada tanggal 19 Maret 2026, sebuah serangan siber canggih menargetkan pemindai kerentanan sumber terbuka Trivy, yang dikembangkan oleh Aqua Security. Para penyerang, yang diidentifikasi sebagai TeamPCP, mengeksploitasi akses yang sebelumnya tidak ditangani dari pelanggaran sebelumnya untuk menyuntikkan malware ke dalam rilis resmi Trivy. Malware ini dirancang untuk mencuri kredensial dari organisasi yang menggunakan pemindai tersebut dalam pipeline CI/CD mereka.

Serangan tersebut tidak hanya membahayakan biner pemindai inti, tetapi juga memengaruhi GitHub Actions trivy-action dan setup-trivy, sehingga alat keamanan tersebut berbalik melawan penggunanya. Malware tersebut beroperasi secara diam-diam, memungkinkan fungsi normal berjalan sambil mencuri data sensitif. Tim Trivy merespons dengan cepat pada hari yang sama, menghapus versi berbahaya untuk menghentikan penyebaran lebih lanjut.

Para penyerang memanfaatkan tag yang dapat diubah dan identitas commit yang dideklarasikan sendiri di Git dan GitHub, taktik yang mirip dengan yang terlihat dalam kampanye sebelumnya seperti Shai-Hulud 2.0. Dengan melakukan force-pushing pada tag yang diubah, mereka mengalihkan referensi versi tepercaya ke commit berbahaya, memicu eksekusi kode mereka di pipeline CI/CD yang tidak curiga.

Microsoft Defender for Cloud mendeteksi serangan tersebut, mengamati perilaku malware, yang meliputi penemuan proses, pengumpulan kredensial, dan eksfiltrasi data. Data yang dicuri dienkripsi dan dikirim ke domain typosquatting, kemudian malware tersebut membersihkan jejak aktivitasnya. Microsoft Defender XDR menyediakan berbagai deteksi untuk pelanggan, dan Microsoft Security Copilot di Microsoft Defender menawarkan alat untuk investigasi dan respons.

Insiden ini menggarisbawahi peningkatan fokus pihak musuh pada pipeline CI/CD dan rantai pasokan perangkat lunak. Microsoft Defender menyarankan organisasi untuk memperbarui Trivy dan komponen terkait ke versi yang aman, memperkuat pipeline CI/CD , menerapkan prinsip hak akses minimal (least privilege), dan melindungi rahasia. Selain itu, analisis jalur serangan dan kemampuan Advanced Hunting dari Microsoft Defender dapat membantu organisasi menilai dan mengurangi risiko yang terkait dengan serangan tersebut.