本质新闻

安全公司Socket Security披露，Bitwarden的命令行界面（CLI）客户端在官方仓库中被植入恶意代码，成为继Checkmarx KICS和Aqua Security Trivy之后的又一起供应链攻击事件。JFrog在GitHub上迅速发现并报告该漏洞，Bitwarden团队随后发布声明称用户数据未受影响，仅有334次下载在被移除前完成。此次事件凸显了开源软件供应链安全的严峻挑战。

黑客通过窃取凭证对Aqua Security公司开发的Trivy漏洞扫描工具发起供应链攻击，几乎影响所有版本。攻击者利用强制推送（forced push）技术篡改了多个版本标签，植入恶意依赖。Trivy是开发者广泛使用的安全工具，GitHub上拥有33,200星。安全公司Socket和Wiz指出，恶意软件在75个被篡改的trivy-action标签中激活，可扫描开发管道中的GitHub令牌、云凭据、SSH密钥等敏感信息，并加密发送至攻击者服务器。受影响版本包括@0.34.2、@0.33和@0.18.0，仅@0.35.0未受影响。维护者Itay Shakury建议用户立即轮换所有管道密钥。