本质新闻

2026年3月19日，安全扫描工具Trivy遭遇供应链攻击，攻击者利用被盗凭证篡改75个trivy-action标签及7个setup-trivy标签，植入恶意依赖。随后，攻击者通过postinstall钩子部署Python后门，利用ICP canister获取C2服务器地址，并通过systemd用户服务实现持久化。攻击者还使用名为CanisterWorm的蠕虫工具，利用被盗npm令牌自动感染47个npm包，其中包括@EmilGroup和@opengov范围内的28个和16个包。部分版本（如@teale.io/eslint-config 1.8.11和1.8.12）具备自主传播能力，任何安...

黑客通过窃取凭证对Aqua Security公司开发的Trivy漏洞扫描工具发起供应链攻击，几乎影响所有版本。攻击者利用强制推送（forced push）技术篡改了多个版本标签，植入恶意依赖。Trivy是开发者广泛使用的安全工具，GitHub上拥有33,200星。安全公司Socket和Wiz指出，恶意软件在75个被篡改的trivy-action标签中激活，可扫描开发管道中的GitHub令牌、云凭据、SSH密钥等敏感信息，并加密发送至攻击者服务器。受影响版本包括@0.34.2、@0.33和@0.18.0，仅@0.35.0未受影响。维护者Itay Shakury建议用户立即轮换所有管道密钥。