文章总结： TeamPCP黑客组织持续针对AquaSecurity的Trivy安全扫描工具发起供应链攻击，通过攻陷GitHub组织账号篡改Docker镜像和代码仓库。攻击者利用服务账号漏洞植入云窃密后门，暴露出个人访问令牌鉴权机制的安全缺陷。建议企业排查Trivy0.69.5/0.69.6恶意版本，采用官方0.69.3稳定版并强化令牌管理。 综合评分： 78 文章分类： 供应链安全,漏洞分析,应急响应,威胁情报,安全运营

Trivy供应链攻击持续扩散，波及Docker镜像与GitHub代码仓库

胡金鱼 胡金鱼

嘶吼专业版

2026年4月1日 14:00 北京

发动Trivy供应链攻击的TeamPCP黑客组织持续锁定Aqua Security（ Trivy所属厂商）发起精准打击：恶意推送伪装Docker镜像、劫持企业GitHub组织账号，批量篡改数十个开源代码仓库。

本次连环入侵仍是此前高危供应链投毒事件：攻击者非法攻陷Aqua Security旗下安全扫描工具Trivy的GitHub自动化构建流水线，植入窃密后门恶意软件，攻击期间攻击链条进一步扩散污染至Docker Hub官方镜像仓库。

Trivy作为全球顶流开源安全检测工具，GitHub平台累计星标超33800颗，广泛用于精准扫描各类软件制品、底层基础设施中潜藏漏洞、高危配置错误、泄露密钥凭证，覆盖企业全链路安全防线。

Socket发布专项报告，正式确认Docker Hub官方镜像仓库已出现恶意篡改的Trivy污染制品包。

Socket安全研究员证实：“攻击者违规强行推送伪装镜像标签0.69.5与0.69.6版本，但GitHub平台无对应官方合规发布记录及版本标签备案。”深度分析判定，两款恶意镜像均携带专属入侵指纹特征，与TeamPCP攻陷Aqua Security GitHub组织后投放的云窃密后门恶意软件完全同源复用。

Trivy官方最终合规稳定版锁定为0.69.3版本，尽管暂未捕获旧版镜像、编译程序发布后遭二次篡改痕迹，但Docker Hub镜像版本标签不具备永久不可篡改属性，企业不能单纯依赖标签名称判定程序安全完整性。

攻陷劫持Aqua Security GitHub核心组织账号

Aqua Security官方通报结论：本次二次入侵核心诱因，系月初针对同款Trivy工具首轮泄露事件的溯源封堵、安全加固工作存在重大疏漏短板，未能彻底阻断攻击者权限链路。坦言：“我们虽批量紧急轮换重置全域密钥、身份令牌，但重置操作非原子一次性闭环执行，攻击者大概率同步窃取复刻更新后的全新合法令牌凭证。”

漏洞权限复用直接纵容攻击者向Trivy主程序底层植入TeamPCP专属云窃密后门代码，批量推送伪装篡改高危恶意版本。

应急响应层面，Aqua Security已于3月20日紧急发布全新安全纯净版Trivy安装包，同步联合专业应急溯源厂商Sygnia，深度介入漏洞修复、全链路取证调查闭环处置。

然而不久后官方紧急更新预警公告：3月22日后台监控捕获大量异常高危操作行为，判定同一TeamPCP攻击者已再次非法越权登录，违规篡改大量核心代码仓库配置、恶意删除篡改历史记录。

厂商补充说明：截至当前最新节点，Trivy开源主程序暂未遭受本轮二次恶意篡改波及。

开源恶意情报社区平台OpenSourceMalware深度拆解：TeamPCP精准攻陷Aqua Security专属私有代码托管组织账号aquasec-com，该账号独立隔离于公开开源仓库组织aquasecurity，核心承载企业闭源私有商业代码资产。

黑客全程依托自动化恶意脚本批量执行操作，耗时仅约两分钟：为组织内全部44个私有代码仓库统一强制添加tpcp-docs-前缀命名，批量篡改仓库简介公示嘲讽标语“TeamPCP掌控Aqua Security全域权限”。

攻击者核心入侵突破口为非法攻陷服务账号Argon-DevOps-Mgt，该账号默认配置全域最高权限，同步打通Aqua Security公开、私有两大GitHub组织后台管理权限。

OpenSourceMalware披露高危配置漏洞：目标攻陷服务账号依托普通用户个人访问令牌（PAT）完成身份鉴权登录，而非合规安全标准的GitHub应用授权鉴权模式。

致命安全短板凸显：个人访问令牌鉴权机制等同于静态明文密码，有效期远超GitHub应用临时动态令牌；且服务账号默认承载自动化后台调度任务，常规未启用双重多因素认证（MFA）防护，极易被窃取复用。

为精准验证攻陷账号是否具备两大GitHub组织全域管理员权限，TeamPCP恶意创建临时分支update-plugin-links-v0.218.2，推送至公开仓库aquasecurity/trivy-plugin-aqua，随即精准毫秒级一键删除无痕销毁痕迹。

锁定窃取链路：黑客依托自研TeamPCP云窃密后门，非法采集窃取该Argon-DevOps-Mgt服务账号个人访问令牌，恶意软件可精准从持续集成调度运行环境中批量窃取GitHub令牌、SSH密钥、云平台凭证、系统环境变量等高敏数据。

OpenSourceMalware对此解释：“该服务账号常态调度触发trivy-plugin-aqua流水线自动化任务，鉴权令牌长期明文驻留运行环境，极易被恶意软件一键批量采集窃取。”

目前，OpenSourceMalware已公开全套专属入侵妥协指纹特征库，助力企业安全运维人员快速自查研判，排查本机环境、业务链路是否已深陷本次高危供应链投毒入侵。

Aqua Security官方声明：暂未捕获任何证据证实企业商业付费产品内置Trivy检测引擎遭受篡改波及。

参考及来源：https://www.bleepingcomputer.com/news/security/trivy-supply-chain-attack-spreads-to-docker-github-repos/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《Trivy供应链攻击持续扩散，波及Docker镜像与GitHub代码仓库》