ВТОРАЯ КИБЕРАТАКА НА TRIVY: КАК ВРЕДОНОСНОЕ ПО ЧЕРЕЗ GITHUB ВЫКАЧИВАЕТ ВАШИ КРИПТОКЛЮЧИ
Популярный сканер уязвимостей Trivy от Aqua Security снова взломан, и на этот раз атака нацелена на самое сердце разработки. Злоумышленники скомпрометировали 75 из 76 тегов в официальном GitHub Action, подменив легитимный код на изощренный инфостилер. Это классический пример атаки на цепочку поставок, когда доверенный инструмент кибербезопасности превращается в оружие.
Вредоносная нагрузка выполняется непосредственно в среде GitHub Actions, безжалостно выискивая ценные секреты: SSH-ключи, учетные данные облачных провайдеров, токены Kubernetes и, что критично, кошельки криптовалют. Эксплойт использует подмененные теги версий, что делает атаку почти незаметной для рядового разработчика. Это уже второй инцидент за месяц, что демонстрирует системную уязвимость.
«Атака была хитрой и целевой, — сообщает наш источник в области безопасности блокчейна. — Они не создавали новых релизов, а силой перезаписали существующие теги. Для автоматических рабочих процессов это катастрофа: вы думаете, что используете проверенную версию, а на самом деле запускаете шпионское ПО». Фишинг учетных данных дал злоумышленникам доступ, который был использован для этой диверсии.
Каждой компании, использующей CI/CD, стоит бить тревогу. Утечка данных такого масштаба — это не просто инцидент, это прямой путь к опустошению корпоративных счетов и компрометации всей инфраструктуры. Безопасность блокчейна-проектов, полагающихся на автоматизацию, оказалась под огромным вопросом.
Мы прогнозируем волну подобных атак на open-source инструменты. Если даже сканер уязвимостей может стать их распространителем, то что говорить о других компонентах? Злоумышленники нашли золотую жилу, и они не остановятся.
Доверяй, но проверяй каждый тег. Особенно сейчас.
