NERDMANTrivy gehackt: 1000 Cloud-Systeme mit Malware infiziert
Ein Open-Source-Scanner, dem Tausende Firmen vertrauen, wurde zur Waffe. Angreifer haben Trivy — ein beliebtes Sicherheitstool von Aqua Security — kompromittiert und darüber Malware in über 1.000 Cloud-Umgebungen geschleust.
Der Angriff
Die Kriminellen haben nicht irgendein Ziel gewählt. Sie haben ein Sicherheitstool angegriffen — also genau die Software, die Schwachstellen finden soll. Trivy scannt Container und Cloud-Infrastruktur nach Lücken. Wer es einsetzt, gibt dem Tool weitreichende Zugriffsrechte.
Genau das haben die Angreifer ausgenutzt. Über eine Supply-Chain-Attacke schleusten sie Schadcode direkt in Trivy ein. Jede Organisation, die das kompromittierte Tool ausführte, infizierte sich selbst.
Zahlenbox
- 1.000+** — infizierte Cloud-Umgebungen
- Ziel:** Secrets und Zugangsdaten stehlen
- Methode:** Supply-Chain-Angriff auf Open-Source-Tool
- Verbündete:** Lapsus$-Erpressergruppe
Die Lapsus$-Connection
Besonders brisant: Die Angreifer arbeiten offenbar mit Lapsus$ zusammen. Die Erpressergruppe hat sich in der Vergangenheit bereits an Microsoft, Nvidia und Uber vergriffen. Die Kombination aus gestohlenen Cloud-Secrets und einer erfahrenen Erpresserbande ist toxisch.
Laut Berichten von der RSAC 2026 erzeugen die Kriminellen einen Schneeballeffekt quer durch Open-Source-Projekte. Wer Trivy als Dependency nutzt, zieht den Schadcode automatisch mit rein.
💡 Was das bedeutet
Supply-Chain-Angriffe treffen die Branche dort, wo es am meisten wehtut: beim Vertrauen. Wenn Sicherheitstools selbst kompromittiert werden, prüft niemand den Prüfer. Jedes Unternehmen, das Trivy in seiner CI/CD-Pipeline hat, muss jetzt seine Zugangsdaten rotieren.
✅ Pro
- Open-Source-Transparenz ermöglicht schnelle Analyse des Angriffs
- Community kann den Schadcode identifizieren und patchen
❌ Con
- Tausende Firmen haben dem Tool blind vertraut
- Gestohlene Secrets sind bereits in kriminellen Händen
- Der Schneeballeffekt über Dependencies ist kaum einzudämmen
