广泛使用的Trivy漏洞扫描工具遭供应链攻击
黑客已通过窃取凭证对Aqua Security公司开发的Trivy漏洞扫描工具发起持续性供应链攻击,几乎影响所有版本。该攻击始于周四凌晨,攻击者利用强制推送技术篡改了多个版本标签,植入恶意依赖。
Trivy是一款广泛用于检测软件开发和部署管道中漏洞及硬编码认证密钥的工具。其在GitHub上拥有33,200星,表明其被大量开发者使用。维护者Itay Shakury于周五确认此次攻击,并建议用户:若怀疑使用了被篡改版本,应立即轮换所有管道密钥。
安全公司Socket和Wiz指出,恶意软件在75个被篡改的trivy-action标签中被触发,可全面扫描开发管道中的GitHub令牌、云凭据、SSH密钥、Kubernetes令牌等敏感信息,并加密后发送至攻击者控制的服务器。一旦开发流程调用被篡改的Trivy扫描,恶意代码即被执行。
被篡改的版本标签包括广泛使用的@0.34.2、@0.33和@0.18.0,而@0.35.0版本未受影响。攻击者此前曾发布讨论该事件的推文,但已被删除。
编辑点评
此次针对Trivy的供应链攻击暴露了现代软件开发生态中基础设施安全的脆弱性。Trivy作为CI/CD流程中的关键工具,其被攻击意味着大量组织的开发管道可能已遭到入侵,敏感凭据外泄风险极高。攻击者利用开发者对开源工具的信任,通过篡改版本标签实施隐蔽攻击,凸显了对开源项目维护和分发环节的监管缺失。
此类事件对全球软件供应链构成系统性威胁。鉴于Trivy被广泛用于云原生和DevOps环境,其影响范围可能波及数百甚至数千家企业。各国监管机构和企业需重新评估开源组件依赖的安全策略,加强版本验证和代码审计机制。
更深层的问题在于,当前开源生态缺乏统一的认证和溯源体系。未来可能推动建立类似软件物料清单(SBOM)的强制性标准,并引入更严格的访问控制和安全审计流程。此次事件或将成为推动全球软件供应链安全治理改革的催化剂。