Trivy: популярный сканер уязвимостей скомпрометирован в атаке на цепочку поставок

Хакеры скомпрометировали практически все версии сканера уязвимостей Trivy от компании Aqua Security в ходе атаки на цепочку поставок. Об этом в пятницу подтвердил мейнтейнер проекта Itay Shakury. Атака началась в четверг и затронула более 75 версий инструмента, включая популярные теги @0.34.2, @0.33 и @0.18.0. Единственная, похоже, неповрежденная версия — @0.35.0.

Злоумышленники использовали украденные учетные данные для force-push — команды, которая обходит защиту от перезаписи коммитов. В скомпрометированные версии внедрили вредонос, который активируется при запуске сканера в CI/CD конвейере. Инструмент имеет 33 200 звезд на GitHub, что указывает на его широкое распространение среди разработчиков.

По данным аналитиков Socket и Wiz, вредонос тщательно сканирует конвейеры разработки в поисках GitHub-токенов, облачных учетных данных, SSH-ключей, Kubernetes-токенов и других секретов. Найденные данные шифруются и отправляются на контролируемый злоумышленниками сервер. Это означает, что любой CI/CD конвейер, использующий скомпрометированные версии, выполнит вредоносный код при запуске сканирования.

Trivy — это инструмент для обнаружения уязвимостей в коде и случайно закоммиченных секретов, который разработчики интегрируют в процесс разработки и развертывания. Если вы подозреваете, что использовали скомпрометированную версию, Shakury рекомендует немедленно ротировать все секреты конвейера — считать их скомпрометированными.

Для белорусских IT-компаний и стартапов, использующих Trivy в своих процессах, это означает необходимость срочной проверки версий и аудита доступов. Особенно это актуально для проектов в Hi-Tech Park, где высокие требования к безопасности разработки.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.