Популярный сканер Trivy скомпрометирован в ходе атак на цепочку поставок

Хакеры скомпрометировали практически все версии Trivy — инструмента для поиска уязвимостей от Aqua Security, широко используемого в индустрии. Атака на цепочку поставок продолжается и может иметь серьёзные последствия для разработчиков и их организаций.

Мейнтейнер (основной разработчик) Trivy Итай Шакури подтвердил факт компрометации в пятницу. До этого в сети появились слухи и тред, позже удалённый атакующими. Атака началась в ранние часы четверга. Используя украденные учётные данные, злоумышленник сделал force-push (принудительную перезапись в Git) практически всех тегов trivy-action (за исключением одного) и семи тегов setup-trivy. Злоумышленник подменил зависимости на вредоносные.

Считайте, что ваши пайплайны скомпрометированы

Force-push — это команда git, которая отключает защитный механизм. Она позволяет перезаписывать существующие коммиты. Trivy сканирует код на наличие уязвимостей и захардкоженных (вшитых прямо в текст) секретов аутентификации в пайплайнах сборки и развёртывания. У проекта 33 200 звёзд на GitHub, что говорит о его массовом использовании.

«Если есть подозрения, что вы запускали скомпрометированную версию — считайте все секреты пайплайнов скомпрометированными и немедленно ротируйте (меняйте) их», — написал Шакури.

По данным компаний Socket и Wiz, вредоносное ПО срабатывает в 75 скомпрометированных тегах trivy-action. Программа тщательно проверяет пайплайны разработки, включая машины разработчиков. Она ищет GitHub-токены, облачные учётные данные, SSH-ключи, Kubernetes-токены и любые другие секреты. Найденные данные шифруются и отправляются на сервер, контролируемый атакующим.

Итог: любой CI/CD-пайплайн, ссылающийся на скомпрометированные теги, выполняет вредоносный код сразу при запуске Trivy-сканирования. Среди подменённых тегов — широко используемые @0.34.2, @0.33 и @0.18.0. Единственный тег, который, судя по всему, не затронут — @0.35.0.