В результате серьезной атаки на цепочку поставок был скомпрометирован популярный сканер уязвимостей с открытым исходным кодом Trivy. Угрозовые акторы, известные как TeamPCP, распространяли вредоносное ПО для кражи учетных данных через его официальные каналы выпуска. Злоумышленникам удалось внедрить бэкдор в версию 0.69.4 сканера и опубликовать вредоносные образы контейнеров и релизы на GitHub для ничего не подозревающих пользователей. Trivy — это критически важный инструмент, используемый разработчиками и командами безопасности для выявления уязвимостей, ошибочных конфигураций и раскрытых секретов в контейнерах, Kubernetes, репозиториях кода и облачной инфраструктуре. Его широкое доверие и доступ к чувствительным средам сделали его высокоценной целью для этой атаки, направленной на сбор секретов аутентификации и других критических данных.
О компрометации первым сообщил исследователь безопасности Пол Маккарти. Последующий углубленный анализ кибербезопасности компаний Socket и Wiz выявил сложный масштаб атаки, затронувшей не только основной сканер Trivy, но и его экосистему. Злоумышленники скомпрометировали процесс сборки Trivy на GitHub, что позволило им заменить легитимный скрипт `entrypoint.sh` в GitHub Actions на вредоносную версию. Кроме того, они опубликовали троянизированные бинарные файлы в официальном релизе Trivy v0.69.4. Эти вредоносные компоненты функционировали как инфостилеры, нацеленные на учетные данные систем, в которых выполнялся скомпрометированный сканер или действия.
Атака оказала широкое воздействие, скомпрометировав почти все теги версий в репозитории `trivy-action` и связанных GitHub Actions, таких как `setup-trivy`. Этот метод гарантировал, что любой рабочий процесс, автоматически использующий эти действия, будет загружать и выполнять вредоносный код. Злоумышленники получили такой уровень доступа, злоупотребив скомпрометированными учетными данными, имевшими права на запись в репозиторий, что подчеркивает критический риск, связанный с токенами доступа с чрезмерными привилегиями в конвейерах CI/CD. Этот инцидент подтверждает растущую угрозу атак на цепочки поставок против фундаментальных инструментов разработчиков, где одна компрометация может иметь каскадный эффект для бесчисленных проектов и организаций.
В ответ на эту и другие критические уязвимости сообщество кибербезопасности выпустило срочные рекомендации. Агентство кибербезопасности и безопасности инфраструктуры США (CISA) обязало федеральные агентства исправить уязвимость максимальной степени серьезности в продуктах Cisco к строгому сроку. В то же время Oracle выпустила экстренный патч для критической уязвимости удаленного выполнения кода (RCE) в своем Identity Manager, а также были выпущены предупреждения о новых уязвимостях RCE, затрагивающих магазины Magento (под названием «PolyShell») и устройства Ubiquiti UniFi, которые могут привести к захвату учетных записей. Эти одновременные угрозы подчеркивают необходимость обеспечения надежной безопасности цепочки поставок программного обеспечения, бдительного мониторинга инструментов DevOps и немедленного исправления критически важной инфраструктуры.
