Co robić teraz: Organizacje używające produktów Trellix — XDR, endpoint security, email security — powinny śledzić aktualizacje od producenta i być gotowe na szybkie wdrożenie poprawek gdy tylko Trellix opublikuje wyniki dochodzenia. Na ten moment: brak potwierdzonego wpływu na klientów, ale dochodzenie jest aktywne.
Dlaczego to nie jest zwykły breach: Trellix nie jest firmą która przechowuje dane klientów jak bank czy operator zdrowotny. Jest firmą której kod — silniki wykrywania zagrożeń, reguły detekcji, mechanizmy XDR — jest wdrożony w środowiskach klientów jako narzędzie ochrony. Dostęp do kodu źródłowego takiej firmy to nie jest dostęp do danych. To dostęp do mapy mechanizmów detekcji u każdego z jej klientów.
Co wiemy — i czego nie wiemy
2 maja 2026 roku Trellix ujawnił że nieautoryzowane osoby uzyskały dostęp do "części" repozytoriów kodu źródłowego firmy. Firma "niedawno zidentyfikowała" kompromitację, zaangażowała zewnętrznych ekspertów kryminalistycznych i powiadomiła organy ścigania.
To jest całość tego co Trellix potwierdził po trzech dniach.
Czego nie ujawniono: który wektor ataku, jak długo trwał dostęp, które konkretnie repozytoria zostały dotknięte, ile kodu zostało skopiowane, kto stoi za atakiem.
Jedyne twierdzenie operacyjne pochodzi z oficjalnego oświadczenia: "Na podstawie naszego dochodzenia nie znaleźliśmy żadnych dowodów że nasz proces wydawania lub dystrybucji kodu źródłowego był dotknięty, ani że nasz kod źródłowy był eksploitowany."
To zdanie jest ważne i wymaga uważnego czytania. Mówi: brak dowodów eksploitacji. Nie mówi: dostęp był niemożliwy, atakujący nie kopiował kodu, wiemy dokładnie co się stało. W środowisku gdzie firma przyznaje że nie zna czasu trwania dostępu — brak dowodów eksploitacji nie jest tym samym co brak eksploitacji.
Trellix i jego szczególna pozycja
Żeby zrozumieć dlaczego ten incydent jest inny niż typowy breach danych, warto zrozumieć czym jest Trellix.
Firma powstała w styczniu 2022 roku z połączenia McAfee Enterprise i FireEye — dwóch gigantów bezpieczeństwa z dziesiątkami lat historii ochrony rządów, banków, szpitali i największych korporacji świata. Po tym połączeniu Google przejął Mandiant — część FireEye zajmującą się reagowaniem na incydenty — za 5,4 miliarda dolarów. Trellix zachował portfel produktów endpoint security i XDR.
To FireEye DNA jest tu istotne z jednego konkretnego powodu: to właśnie FireEye w grudniu 2020 roku odkrył atak SolarWinds na własnej infrastrukturze i jako pierwszy powiadomił świat. Firma która odkryła jeden z największych ataków supply chain w historii i przez to stała się symbolem zdolności wykrywania — teraz sama ma breach kodu bez znajomości wektora i czasu trwania.
Historia nie lubi ironii, ale czasem na nią nie patrzy.
Dlaczego kod źródłowy firmy bezpieczeństwa to inny rodzaj łupu
Kiedy atakujący przejmuje dane z banku, dostaje dane klientów banku. Kiedy atakujący przejmuje dane z kliniki, dostaje dane pacjentów. Kiedy atakujący przejmuje kod źródłowy firmy cybersecurity — dostaje coś innego.
Trellix dostarcza narzędzia do wykrywania zagrożeń tysiącom organizacji na całym świecie. Silnik XDR, reguły detekcji endpoint, mechanizmy analizy behawioralnej — wszystkie są wdrożone u klientów jako pierwsza linia obrony. Atakujący który zna kod tego silnika może:
Szukać w nim przeoczonych podatności, które pozwolą ominąć wykrywanie. Rozumieć dokładnie jakie wzorce zachowań wyzwalają alerty — i budować ataki które tych wzorców unikają. Identyfikować mechanizmy które mogą być exploitowane do eskalacji uprawnień w środowiskach gdzie oprogramowanie jest wdrożone z wysokimi uprawnieniami.
To jest dokładnie wzorzec opisywany przez analizę historycznych breachów firm bezpieczeństwa. Kaseya w 2021 — dostęp do kodu VSA, precyzyjny exploit w mechanizmie aktualizacji. SolarWinds w 2020 — wstrzyknięcie w pipeline budowania. LastPass w 2022 — środowisko deweloperskie jako punkt wejścia.
Każdy z tych incydentów zaczął się od czegoś co mogło wyglądać jak "dostęp do kodu bez śladów eksploitacji."
Ten sam wzorzec, ten sam miesiąc
Pisaliśmy o kampanii TeamPCP i Checkmarx KICS — skaner bezpieczeństwa jako wektor ataku. Narzędzie DevSecOps które ma z założenia dostęp do wszystkiego co skanuje, skompromitowane żeby dostarczyć złośliwy kod przez ten dostęp.
Trellix to ta sama klasa problemu, tylko na wyższym poziomie stosu: nie narzędzie do skanowania infrastruktury, ale platforma do wykrywania zagrożeń wdrożona w centrum środowisk klientów. Atak na Checkmarx pozwalał zbierać sekrety z potoków CI/CD. Atak na Trellix — jeśli kod zostanie użyty — mógłby pozwolić na przechodzenie obok detekcji Trellix bez wyzwalania alertów.
To jest właśnie powód dla którego breacze firm bezpieczeństwa są klasą samą w sobie. Nie chodzi o dane w repozytoriach. Chodzi o wiedzę która pozwala ominąć ochronę u ich klientów.
Co to mówi o stanie dochodzenia
Trzy dni po ujawnieniu, bez informacji o wektorze ataku i czasie dostępu, jest jeden wniosek który można wyciągnąć z samej struktury komunikatu Trellix.
Firmy które szybko ustalają co się stało — opisują to szybko. Firmy które mówią "niedawno zidentyfikowaliśmy" bez daty, "prowadzimy dochodzenie" bez zakresu, "brak dowodów eksploitacji" bez znajomości czasu dostępu — albo naprawdę nie wiedzą jeszcze co się stało, albo wiedzą ale komunikują minimum.
Oba scenariusze są niepokojące z różnych powodów. Pierwszy oznacza że zakres incydentu jest nieznany. Drugi oznacza że zakres jest znany ale nieujawniony.
Klienci Trellix w dużych organizacjach powinni w najbliższych dniach oczekiwać bardziej szczegółowego komunikatu — albo jego braku, co samo w sobie będzie informacją.
Podsumowanie
Breach Trellix jest dziś historią z wieloma niewiadomymi i jedną pewną. Pewna: nieautoryzowane osoby miały dostęp do kodu źródłowego firmy której produkty chronią tysiące organizacji na całym świecie. Niewiadome: kto, jak długo, przez jaki wektor, z jakim skutkiem.
Historia firmy z DNA FireEye — tej samej która odkryła SolarWinds — dziś sama ujawniająca breach kodu bez znajomości jego zakresu, nie jest punktem końcowym tej historii. Jest jej początkiem.
Wrócimy gdy Trellix opublikuje wyniki dochodzenia.
Źródła
The Hacker News — pierwotne ujawnienie z oficjalnym oświadczeniem Trellix: https://thehackernews.com/2026/05/trellix-confirms-source-code-breach.html
Cybersecurity News — kontekst produktowy i pozycja rynkowa Trellix: https://cybersecuritynews.com/trellix-source-code-breach/
Security Affairs — historia firmy i kontekst breachów firm bezpieczeństwa: https://securityaffairs.com/191584/data-breach/trellix-discloses-the-breach-of-a-code-repository.html
Hoplon Infosec — analiza dlaczego breacze firm bezpieczeństwa są osobną klasą ryzyka: https://hoploninfosec.com/trellix-source-code-breach
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł