El Ecosistema Startup > Blog > Actualidad Startup > Ataque supply chain a Trivy: como robaron credenciales
Ataque supply chain a Trivy con exfiltración de credenciales CI/CD mostrando equipo de ciberseguridad defendiendo pipelines en entorno digital.

Ataque supply chain a Trivy: como robaron credenciales

por

El ataque que convirtio un escaner de seguridad en un ladron de credenciales

El 19 de marzo de 2026 la comunidad de ciberseguridad fue sacudida por uno de los ataques a la cadena de suministro mas sofisticados dirigidos al ecosistema DevSecOps: la comprometida de Trivy, el escaner de vulnerabilidades de codigo abierto desarrollado por Aqua Security y usado por cientos de miles de pipelines CI/CD en todo el mundo. La herramienta en la que los equipos de ingenieria confiaban para detectar amenazas se convirtio, en cuestion de horas, en el vector para robarles sus credenciales mas criticas.

Si tu startup usa Trivy, GitHub Actions o cualquier herramienta de escaneo integrada en pipelines de automatizacion, este incidente te incumbe directamente.

Cronologia del ataque: dos fases, un mismo objetivo

El incidente no ocurrio de la noche a la manana. Fue el resultado de una campana en dos etapas coordinadas:

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Fase 1 — La campana hackerbot-claw (27 de febrero al 2 de marzo de 2026)

Un bot automatizado de pentesting conocido como hackerbot-claw exploto una mala configuracion del trigger pull_request_target en el repositorio oficial de Trivy en GitHub Actions. Esto le permitio robar un Personal Access Token (PAT) privilegiado de la cuenta de servicio aqua-bot, otorgandole capacidad de escritura sobre el repositorio. Aqua Security rotó las credenciales el 1 de marzo, pero de forma incompleta, dejando acceso residual activo.

Fase 2 — El ataque de TeamPCP (19 de marzo de 2026)

El actor de amenazas conocido como TeamPCP (tambien identificado como DeadCatx3 y PCPcat) aprovecho ese acceso residual para ejecutar el ataque principal. Aproximadamente a las 17:43 UTC forzó la reescritura de 76 de 77 etiquetas (tags) en el repositorio aquasecurity/trivy-action y las 7 etiquetas de aquasecurity/setup-trivy, apuntandolas a commits huerfanos que suplantaban la identidad de mantenedores reales como DmitriyLewen.

Esto desencadeno la distribucion automatica de binarios infectados a GitHub Releases, Docker Hub, GHCR y Amazon ECR. A las 20:38 UTC del mismo dia, el equipo de Trivy identifico y contenia el ataque, aunque el 22 de marzo TeamPCP publico imagenes adicionales maliciosas (v0.69.5, v0.69.6, latest), extendiendo la exposicion cerca de 10 horas mas.

El incidente quedo registrado oficialmente en el hilo de GitHub Discussions #10425 del repositorio de Trivy y fue catalogado con el CVE-2026-33634, confirmado por ownCloud como expositor de sus credenciales de build.

Como el malware robaba credenciales de los gestores de secretos

La carga maliciosa fue inyectada directamente en el archivo entrypoint.sh de los binarios y actions comprometidos, ejecutandose antes del escaneo de vulnerabilidades —de forma completamente silenciosa para el equipo de ingenieria.

Una vez activa dentro del pipeline, el malware realizaba las siguientes acciones:

  • Enumeracion del entorno CI/CD: Detectaba credenciales de AWS IAM, cuentas de servicio de GCP, variables de Azure, secretos de Kubernetes y tokens de gestores como HashiCorp Vault y AWS Secrets Manager.
  • Empaquetado cifrado: Las credenciales recopiladas se comprimian en un archivo tpcp.tar.gz, cifrado con AES-256-CBC cuya clave era envuelta con un par RSA-4096 controlado por el atacante, evadiendo la inspeccion de trafico de red.
  • Exfiltracion al C2: El paquete era enviado a servidores de comando y control operados por TeamPCP, con mecanismos de fallback para garantizar la entrega incluso si el primer destino estaba bloqueado. El trafico se camuflaba como salida normal del pipeline.

Como detalle casi burlesco, los payloads incluian canciones incrustadas como huella digital —entre ellas Big City Life— lo que ayudo a los investigadores a atribuir el ataque.

Por que los gestores de secretos tradicionales no son suficientes

Este incidente expone una limitacion estructural que muchos founders y equipos de ingenieria no consideran al disenar su arquitectura de seguridad: los gestores de secretos tradicionales entregan las credenciales en texto plano en el momento de ejecucion.

Herramientas como HashiCorp Vault, AWS Secrets Manager o Azure Key Vault estan disenadas para proteger los secretos en reposo —pero en el momento en que el pipeline los solicita, los desencripta y los inyecta como variables de entorno o argumentos de proceso. Cualquier binario que se ejecute con privilegios de pipeline en ese punto puede leerlos, copiarlos y exfiltrarlos.

El vector de ataque no requiere comprometer el gestor de secretos. Basta con comprometer cualquier herramienta que se ejecute con acceso al entorno del runner: un escaner, una accion de GitHub, un plugin de linting. El modelo de confianza tradicional asume aislamiento del host, pero los ataques a la cadena de suministro eluden exactamente esa suposicion insertandose dentro de binarios legitimos y de confianza.

Arquitectura de clave dividida: el enfoque que bloquea la exfiltracion

Frente a esta limitacion, ha ganado traccion el concepto de arquitectura de clave dividida (split-key architecture), que propone un modelo radicalmente distinto para gestionar secretos en entornos CI/CD:

  • En lugar de entregar el secreto completo al pipeline, el secreto se divide en fragmentos (shards) almacenados en ubicaciones separadas e independientes.
  • El pipeline solo recibe fragmentos parciales; el ensamblaje para descifrado ocurre fuera del entorno comprometible, por ejemplo dentro de un enclave seguro o via un proxy con autorizacion multifactor.
  • Un atacante que logre comprometer el runner del pipeline obtiene fragmentos inutilizables por si solos, sin capacidad de reconstruir el secreto completo.

Este enfoque elimina el punto unico de fallo que los ataques a la cadena de suministro explotan hoy con sistematica precision.

VaultProof y la nueva generacion de gestion de secretos

VaultProof es una de las soluciones que implementa esta arquitectura de clave dividida especificamente para entornos CI/CD. Su propuesta de valor central es que las credenciales nunca existen como texto plano dentro del ambiente de ejecucion del pipeline.

A diferencia de los gestores tradicionales, donde el runner obtiene el secreto desencriptado y ejecutable, VaultProof garantiza que incluso si una herramienta como Trivy fuese comprometida, el malware no podria exfiltrar credenciales utiles porque nunca tendria acceso a ellas en forma legible. La exfiltracion queda bloqueada por diseno arquitectonico, no por politicas de acceso que pueden ser evadidas.

El patron que se repite: Trivy no es un caso aislado

El ataque a Trivy forma parte de una escalada documentada contra herramientas del ecosistema DevSecOps. Los investigadores de Palo Alto Networks, CrowdStrike y Microsoft han identificado un patron claro:

  • tj-actions/changed-files (2025): Envenenamiento de tags en GitHub Actions para robo de secretos de CI/CD.
  • Checkmarx KICS (23 de marzo de 2026): Cosecha de credenciales similar, cuatro dias despues del ataque a Trivy.
  • LiteLLM (24 de marzo de 2026): Exfiltracion de credenciales cloud usando el mismo formato tpcp.tar.gz, confirmando la atribucion al mismo actor.

El patron es consistente: los atacantes apuntan a herramientas de seguridad y automatizacion precisamente porque tienen acceso privilegiado al entorno, son de confianza implicita y se actualizan frecuentemente, lo que amplia la ventana de exposicion antes de que los equipos detecten el compromiso.

Que deberia hacer tu equipo ahora mismo

Si tu startup utiliza Trivy o cualquier herramienta de escaneo integrada en pipelines CI/CD, estas son las acciones inmediatas recomendadas:

  1. Verificar versiones afectadas: Todas las versiones de trivy-action y setup-trivy publicadas entre el 19 y el 22 de marzo de 2026 deben considerarse comprometidas. Consulta el hilo oficial en GitHub Discussions #10425.
  2. Rotar credenciales inmediatamente: Cualquier secreto que haya estado disponible en pipelines que ejecutaron versiones comprometidas debe rotarse: tokens de AWS, claves de GCP/Azure, tokens de Kubernetes, tokens de acceso a registros de contenedores y cualquier secreto en Vault o Secrets Manager accedido en ese periodo.
  3. Auditar logs de CI/CD: Buscar ejecuciones sospechosas, accesos inusuales a secretos o trafico de red inesperado desde runners en el periodo de exposicion.
  4. Fijar versiones con SHA en GitHub Actions: Nunca referencias a tags mutables (uses: aquasecurity/[email protected]); usa siempre el SHA de commit inmutable para evitar este vector de ataque.
  5. Evaluar arquitecturas de secretos con zero-trust: Considerar soluciones de clave dividida o proxies de secretos que no expongan credenciales en texto plano al runner.

Conclusion

El ataque a Trivy en marzo de 2026 es un recordatorio brutal de que la seguridad en el ecosistema de automatizacion no puede depender unicamente de confiar en las herramientas que usamos. Los gestores de secretos tradicionales, por robustos que sean, enfrentan un limite fundamental: entregan credenciales en texto plano a entornos que pueden estar comprometidos por actores sofisticados que operan dentro de los propios binarios de confianza.

Para los founders y equipos tecnicos de startups que construyen sobre infraestructura cloud y pipelines CI/CD, este incidente debe ser el catalizador para revisar arquitecturas de secretos, fijar versiones de dependencias y adoptar un modelo de zero-trust incluso para las herramientas internas. La pregunta no es si alguna herramienta de tu pipeline sera comprometida algun dia, sino cuando —y si tu arquitectura sobreviviria a ese evento sin exponer lo que mas importa.

Conecta con founders que estan blindando sus pipelines y arquitecturas de seguridad en Ecosistema Startup.

Conectar con founders

Fuentes

  1. https://vaultproof.dev/blog/trivy-supply-chain-attack (fuente original)
  2. https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/ (Aqua Security – respuesta oficial)
  3. https://www.upwind.io/feed/trivy-supply-chain-incident-github-actions-compromise-breakdown (Upwind – analisis del incidente)
  4. https://ramimac.me/teampcp/ (Cronologia TeamPCP)
  5. https://www.legitsecurity.com/blog/the-trivy-supply-chain-compromise-what-happened-and-playbooks-to-respond (Legit Security – playbooks de respuesta)
  6. https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/ (Microsoft Security)
  7. https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/ (Palo Alto Networks)
  8. https://github.com/aquasecurity/trivy/discussions/10425 (GitHub – hilo oficial del incidente)
  9. https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/ (CrowdStrike – analisis tecnico)
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Impacto del Supply Chain Attack en Trivy y claves de seguridad DevOps para startups tecnológicas.Supply Chain Attack en Trivy: consecuencias y claves para startups Protección de secretos .env con cifrado para seguridad en desarrollo frente a herramientas IA como GitHub Copilot en startups.ENVeil: Protege Secretos .env de Herramientas IA | 2026 Ilustración de ataque de seguridad informática con inyección de prompts y cadena de suministro en GitHub afectando a desarrolladores y sistemas AI en pipelines.Clinejection: como un issue de GitHub comprometio 4k devs Gestor de secretos CLI scrt para DevOps y developers, representado con teclas de laptop y símbolos de seguridad en un entorno tecnológico moderno.scrt: gestor de secretos CLI para DevOps y developers Verificación de edad con credenciales anónimas y zero-knowledge proof preservando la privacidad digital en startups tecnológicas.Credenciales Anónimas: Verificación de Edad sin Exponer Datos

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly