Хакеры скомпрометировали практически все версии широко используемого сканера уязвимостей Trivy компании Aqua Security в ходе продолжающейся атаки на цепочку поставок, которая может иметь далеко идущие последствия для разработчиков и организаций, которые их используют.
Сопровождающий Trivy Итай Шакури подтвердил компромисс в пятницу после слухов и треда, который был удален злоумышленниками, в котором обсуждался инцидент. Нападение началось рано утром в четверг. Когда это было сделано, злоумышленник использовал украденные учетные данные, чтобы принудительно использовать все теги триви-действия, кроме одного, и семи тегов настройки-триви, чтобы использовать вредоносные зависимости.
Предположим, что ваши трубопроводы скомпрометированы
Aforcedpushi — это команда git, которая переопределяет механизм безопасности по умолчанию, защищающий от перезаписи существующих коммитов. Trivy — это сканер уязвимостей, который разработчики используют для обнаружения уязвимостей и непреднамеренно запрограммированных секретов аутентификации в конвейерах разработки и развертывания обновлений программного обеспечения. Сканер получил 33 200 звезд на GitHub, и это высокий рейтинг, указывающий на его широкое использование.
«Если вы подозреваете, что используете скомпрометированную версию, считайте все секреты конвейера скомпрометированными и немедленно меняйте их», — написал Шакури.
Охранные компании SocketandWiz заявили, что вредоносное ПО, запущенное в 75 скомпрометированных тегах триви-экшн, заставляет специальное вредоносное ПО тщательно проверять конвейеры разработки, включая машины разработчиков, в поисках токенов GitHub, облачных учетных данных, ключей SSH, токенов Kubernetes и любых других секретов, которые могут там храниться. После обнаружения вредоносная программа шифрует данные и отправляет их на сервер, контролируемый злоумышленником.
Конечным результатом, по словам Сокета, является то, что любой CI/CDpipeline, использующий программное обеспечение, которое ссылается на теги скомпрометированной версии, выполняет код, как только запускается сканирование Trivy. Поддельные теги версий включают широко используемые @0.34.2, @0.33 и @0.18.0. Версия @0.35.0, похоже, единственная, на которую это не коснулось.