广泛使用的Trivy漏洞扫描工具遭供应链攻击
黑客通过窃取凭证对Aqua Security公司开发的Trivy漏洞扫描工具发起供应链攻击,几乎影响所有版本。攻击者利用强制推送(forced push)技术篡改了多个版本标签,植入恶意依赖。Trivy是开发者广泛使用的安全工具,GitHub上拥有33,200星。安全公司Socket和Wiz指出,恶意软件在75个被篡改的trivy-action标签中激活,可扫描开发管道中的GitHub令牌、云凭据、SSH密钥等敏感信息,并加密发送至攻击者服务器。受影响版本包括@0.34.2、@0.33和@0.18.0,仅@0.35.0未受影响。维护者Itay Shakury建议用户立即轮换所有管道密钥。