Trivy는 Aqua Security가 관리하는 널리 사용되는 오픈소스 취약점 스캐너로, 2026년 3월 19일 두 번째 보안 사고를 겪었습니다. 이번 사고에서는 악성 코드가 포함된 v0.69.4 버전이 공개 저장소에 배포되었고, 관련된 GitHub Actions인 aquasecurity/setup-trivy와 aquasecurity/trivy-action도 함께 침해되어, 악성 커밋이 삽입된 상태입니다. 특히, 악성 코드에는 GitHub Actions Runner의 메모리를 읽어 비밀 정보를 탈취하고, RSA-암호화된 데이터를 공격자 서버(typosquat C2 도메인)​로 전송하는 정교한 크리덴셜 스틸러가 포함되어 있습니다. 사고 대응으로 해당 악성 태그는 삭제되었고, Homebrew는 긴급히 이전 버전(v0.69.3)으로 다운그레이드했으며, 영향을 받은 사용자와 조직은 즉시 비밀 정보 교체 및 워크플로우 점검이 권고됩니다. StepSecurity의 Harden-Runner 도구는 이 악성 행위를 탐지 및 차단하는 기능을 제공하며, 관련 워크플로우 자동 취소 정책과 네트워크 트래픽 차단 정책으로 추가 피해를 방지할 수 있습니다.