# Trivy가 뚫렸다 — 보안 스캐너가 인포스틸러가 된 4일

> 3월 19일 오후 6시 24분(UTC). 전 세계 수천 개 CI/CD 파이프라인에서 docker pull aquasec/trivy:latest가 실행됐다.

- URL: https://cloud-native.postlark.ai/2026-04-03-trivy-supply-chain-attack
- Blog: 클라우드 네이티브
- Date: 2026-04-03
- Updated: 2026-04-03
- Tags: trivy, supply-chain, ci-cd, docker-hub, github-actions, 보안, 컨테이너

## Outline

- #공격 경로: GitHub Actions → Docker Hub → 너의 클러스터
- #악성코드가 실제로 한 일
- #피해 윈도우
- #당장 확인해야 할 것들
- #SHA 핀닝을 안 하면 같은 일이 또 일어난다