News

Trivy scanner compromesso: grave attacco alla supply chain

Carlo Coppola · 21 Marzo 2026 · 5 min di lettura
Trivy scanner compromesso: grave attacco alla supply chain
Immagine: Ars Technica

Un attacco informatico di vasta portata ha colpito Trivy, uno degli scanner di vulnerabilità più utilizzati al mondo dagli sviluppatori. Il compromesso, confermato venerdì dal maintainer del progetto Itay Shakury, ha interessato praticamente tutte le versioni dello strumento di Aqua Security, sollevando serie preoccupazioni per la sicurezza dell’intera catena di fornitura software globale.

L’attacco rappresenta un esempio emblematico di come i criminali informatici stiano puntando sempre più spesso su strumenti ampiamente adottati dalla community degli sviluppatori. Con oltre 33.200 stelle su GitHub, Trivy è infatti uno scanner di riferimento per identificare vulnerabilità e credenziali hardcoded accidentalmente inserite nei pipeline di sviluppo e deployment del software.

La portata dell’incidente è tale da richiedere un’immediata verifica da parte di tutte le organizzazioni che utilizzano questo strumento nei propri flussi di lavoro di sviluppo software, con potenziali ripercussioni che potrebbero estendersi a migliaia di aziende in tutto il mondo.

Anatomia dell’attacco: come sono riusciti a compromettere Trivy

L’attacco è iniziato nelle prime ore di giovedì mattina, quando i cybercriminali sono riusciti ad ottenere l’accesso a credenziali rubate con privilegi sufficienti per manipolare il repository del progetto. Utilizzando queste credenziali compromesse, gli attaccanti hanno eseguito operazioni di “force-push” su Git, una manovra particolarmente insidiosa che permette di sovrascrivere i meccanismi di sicurezza predefiniti di Git stesso.

In concreto, i malintenzionati sono riusciti a modificare tutti i tag trivy-action eccetto uno, oltre a sette tag setup-trivy, sostituendoli con dipendenze malicious appositamente create per compromettere i sistemi che utilizzano lo scanner. Il force-push è una tecnica avanzata che bypassa le protezioni standard contro la sovrascrittura di commit esistenti, rendendo l’attacco particolarmente efficace e difficile da rilevare immediatamente.

La sofisticatezza dell’operazione suggerisce la presenza di attaccanti esperti, probabilmente con conoscenze approfondite dell’ecosistema di sviluppo software e delle pratiche DevOps. Il fatto che siano riusciti a mantenere il controllo per diverse ore prima della scoperta dimostra anche una pianificazione accurata dell’attacco.

Impatto sui pipeline di sviluppo e raccomandazioni urgenti

Le conseguenze di questo compromesso potrebbero essere devastanti per l’ecosistema di sviluppo software globale. Trivy viene utilizzato in migliaia di pipeline CI/CD per automatizzare la scansione di vulnerabilità durante il processo di build e deployment delle applicazioni. Ogni organizzazione che ha eseguito build utilizzando le versioni compromesse potrebbe aver involontariamente introdotto codice malicious nei propri sistemi.

La raccomandazione degli esperti è inequivocabile: “Assume your pipelines are compromised” – assumete che i vostri pipeline siano stati compromessi. Questa approach conservativa è necessaria considerando l’ampia diffusione dello strumento e il periodo di esposizione che si è verificato prima della scoperta dell’attacco.

Per le aziende italiane che utilizzano Trivy nei propri processi di sviluppo, è fondamentale avviare immediatamente un audit completo di tutti i build eseguiti nel periodo interessato dall’attacco. Questo include la verifica dell’integrità degli artifact prodotti, la revisione dei log di sistema per individuare eventuali attività sospette e l’aggiornamento immediato a versioni sicure dello scanner.

Supply chain attack: una minaccia in crescita

Questo incidente si inserisce in un trend preoccupante di attacchi alla supply chain software che ha visto una crescita esponenziale negli ultimi anni. Dai casi di SolarWinds a quelli più recenti che hanno colpito librerie NPM e repository PyPI, i cybercriminali hanno compreso l’efficacia di colpire strumenti e componenti utilizzati da migliaia di sviluppatori.

Il vantaggio strategico di questi attacchi è evidente: invece di dover compromettere singolarmente centinaia o migliaia di target, gli attaccanti possono ottenere lo stesso risultato compromettendo un singolo strumento ampiamente utilizzato. Nel caso di Trivy, l’ironia è particolare, considerando che si tratta proprio di uno strumento progettato per migliorare la sicurezza identificando vulnerabilità nel codice.

L’incidente sottolinea l’importanza cruciale di implementare controlli di sicurezza multi-livello nei pipeline di sviluppo, inclusa la verifica dell’integrità degli strumenti utilizzati e il monitoraggio continuo per anomalie. Le organizzazioni dovrebbero considerare l’implementazione di processi di supply chain security frameworks come SLSA per mitigare questi rischi.

Guardando al futuro, questo attacco rappresenta un campanello d’allarme per tutta l’industria del software. La crescente sofisticazione degli attacchi alla supply chain richiede un approccio più proattivo alla sicurezza, con investimenti significativi in strumenti di monitoring, processi di verifica dell’integrità e formazione del personale di sviluppo. Solo attraverso un approccio olistico sarà possibile difendersi efficacemente da minacce di questa portata e complessità.

Leggi anche:

Fonte: Ars Technica

#DevOps #sicurezza informatica #Supply Chain Attack #Trivy #vulnerabilità