攻击者已入侵广受欢迎的开源漏洞扫描工具Trivy，在官方版本及数千个CI/CD工作流使用的GitHub Actions中植入了凭证窃取恶意软件。若受影响项目和组织未立即轮换密钥，此次入侵可能引发连锁式供应链攻击。