Aqua Security подтвердила компрометацию сканера уязвимостей Trivy в результате атаки на цепь поставок. По данным компании, злоумышленники получили доступ к учетным данным и выполнили принудительное обновление 75 версий тегов trivy-action и семи тегов setup-trivy для внедрения вредоносных зависимостей.
Trivy — это инструмент для обнаружения уязвимостей и утечек учетных данных в конвейерах разработки. Проект имеет 33,2 тысячи звезд на GitHub, что указывает на широкое распространение среди разработчиков.
По информации компаний Socket и Wiz, вредонос срабатывает при запуске скомпрометированных версий и сканирует конвейеры CI/CD в поиске GitHub-токенов, облачных учетных данных, SSH-ключей и токенов Kubernetes. Обнаруженные данные шифруются и отправляются на контролируемый злоумышленниками сервер. Исследователи Wiz отмечают, что вредонос запускает легитимный сервис Trivy параллельно с вредоносным кодом, что затрудняет обнаружение компрометации.
По данным Aqua Security, скомпрометированы версии @0.34.2, @0.33 и @0.18.0. Версия @0.35.0 осталась неповреждена. Атака началась в четверг в ранние часы. Корень проблемы восходит к отдельной компрометации расширения Trivy VS Code в прошлом месяце, когда злоумышленники получили доступ к учетным данным с правами записи в аккаунт Trivy на GitHub.
По информации Socket, при ротации токенов процесс не был полностью завершен, что позволило злоумышленникам сохранить доступ к артефактам учетных данных. Техника атаки отличается от типичных атак на цепь поставок: вместо добавления новых коммитов злоумышленники переориентировали существующие теги версий на вредоносные коммиты, что затрудняло обнаружение через системы мониторинга.
Maintainer Trivy Итай Шакури рекомендовал пользователям, подозревающим использование скомпрометированных версий, немедленно ротировать все секреты конвейеров. Аналитики отмечают, что инцидент может затронуть множество организаций, использующих Trivy в своих процессах разработки.
Источник: Ars Technica AI
