Trivy-Hack: Malware über Docker Hub verbreitet

Cybersecurity-Forscher haben eine neue Bedrohung entdeckt, die über Docker Hub verbreitet wird. Diese Malware ist das Ergebnis eines Angriffs auf die Trivy-Lieferkette, der sich auf Entwicklerumgebungen auswirkt. Die letzten bekannten sauberen Versionen von Trivy sind 0.69.3, während die kompromittierten Versionen 0.69.4, 0.69.5 und 0.69.6 bereits aus der Container-Bibliothek entfernt wurden. Die Malware, die über die betroffenen Versionen verbreitet wurde, enthält einen Infostealer, der sensible Daten von betroffenen Systemen stiehlt. Forscher berichten, dass die Malware auch als Wurm fungiert, der sich selbstständig in andere Systeme verbreitet.

Dies erhöht das Risiko einer massiven Infektion in Entwicklerumgebungen erheblich. Die Sicherheitsforscher haben festgestellt, dass die Angreifer gezielt Entwickler-Tools ins Visier nehmen, um Zugang zu sensiblen Informationen zu erhalten. Die Verbreitung über Docker Hub zeigt, wie wichtig es ist, die Integrität von Software-Containern zu überprüfen. Entwickler sollten sicherstellen, dass sie nur vertrauenswürdige Versionen von Software verwenden. Die betroffenen Versionen von Trivy wurden nach dem Bekanntwerden des Vorfalls schnell entfernt.

Nutzer, die diese Versionen installiert haben, werden dringend aufgefordert, auf die sichere Version 0.69.3 zurückzugreifen. Sicherheitsupdates und Patches sind entscheidend, um die Systeme vor weiteren Angriffen zu schützen. Zusätzlich zu den Infostealern und Würmern haben die Forscher auch einen Kubernetes-Wiper identifiziert, der in den kompromittierten Versionen enthalten ist. Dieser Wiper kann Daten in Kubernetes-Umgebungen unwiderruflich löschen, was zu erheblichen Verlusten für Unternehmen führen kann. Die Entdeckung dieser Funktionalität hat die Dringlichkeit erhöht, Sicherheitsmaßnahmen zu implementieren.

Die Sicherheitsgemeinschaft hat auf den Vorfall reagiert, indem sie Empfehlungen zur Verbesserung der Sicherheit in Container-Umgebungen veröffentlicht hat. Dazu gehört die Überprüfung von Container-Images auf bekannte Schwachstellen und die Implementierung von Sicherheitsrichtlinien für die Nutzung von Docker Hub. Unternehmen sind aufgefordert, ihre Sicherheitsprotokolle zu überprüfen und gegebenenfalls anzupassen. Die Vorfälle rund um die Trivy-Malware verdeutlichen die wachsenden Bedrohungen im Bereich der Software-Sicherheit. Die Angreifer nutzen zunehmend raffinierte Methoden, um in Systeme einzudringen und Daten zu stehlen.

Sicherheitsforscher warnen davor, dass solche Angriffe in Zukunft zunehmen könnten, insbesondere wenn Entwickler nicht wachsam bleiben. Die letzte bekannte saubere Version von Trivy, 0.69.3, wurde am 15. Februar 2026 veröffentlicht. Nutzer sollten sicherstellen, dass sie diese Version verwenden, um ihre Systeme zu schützen.