spot_img
Головна сторінкаНовиниЗловмисники зуміли зламати Trivy від Aqua Security 

[:uk]Зловмисники зуміли зламати Trivy від Aqua Security [:]

Зловмисники зуміли зламати практично всі версії популярного сканера вразливостей Trivy від Aqua Security у рамках триваючої атаки на постачальницький ланцюг, що може мати серйозні наслідки для розробників та організацій, які його використовують.

Управляючий Trivy Ітай Шакурі підтвердив цю інформацію у п’ятницю, після появи чуток і обговорення інциденту, яке згодом було видалено зловмисниками. Атака розпочалася рано вранці в четвер. В результаті зловмисник використав вкрадені облікові дані, щоб примусово оновити всі тегові версії trivy-action, окрім однієї, та сім тегів setup-trivy для використання шкідливих залежностей.

Вважайте, що ваші потоки даних скомпрометовані

Примусове оновлення — це команда git, яка обминає стандартний механізм безпеки, що захищає від перезапису існуючих комітів. Trivy — це сканер вразливостей, який розробники використовують для виявлення вразливостей та ненавмисно закодованих секретів автентифікації у потоках для розробки та впровадження оновлень програмного забезпечення. Сканер має 33,200 зірок на GitHub, що свідчить про його популярність.

“Якщо ви підозрюєте, що використовували скомпрометовану версію, вважайте всі секрети в потоках скомпрометованими та терміново їх змініть,” — зазначив Шакурі.

Безпекові компанії повідомили, що шкідливе програмне забезпечення, активоване в 75 скомпрометованих тегах trivy-action, здатне ретельно перевіряти потоки розробки, зокрема комп’ютери розробників, на предмет токенів GitHub, облікових записів хмар, SSH-ключів, токенів Kubernetes та інших недоступних даних. Знайдену інформацію шкідливе програмне забезпечення шифрує і надсилає на сервер, контрольований злочинцем.

В результаті, за інформацією Socket, будь-який CI/CD потік, що використовує програмне забезпечення, яке посилається на скомпрометовані тегові версії, виконує код одразу після запуску сканування Trivy. Підроблені тегові версії включають широко використовувані @0.34.2, @0.33 та @0.18.0. Версія @0.35.0, за попередніми даними, залишилася без змін.