程式碼弱點掃描工具Trivy遭供應鏈攻擊,駭客透過GitHub Actions散佈竊資軟體
事件概述
開源漏洞掃描工具Trivy近期發生供應鏈攻擊事件,駭客組織TeamPCP入侵其GitHub Actions流程,並植入竊資軟體,可能影響使用該工具進行自動化掃描的開發與企業環境。
攻擊手法與影響範圍
攻擊者成功竄改Aqua Security所開發的GitHub Actions工作流程,當開發者執行Trivy掃描任務時,會自動下載並執行惡意程式。該惡意程式會在真正Trivy掃描啟動「之前」默默執行,並瘋狂撈取CI/CD流程中運行的所有機密資訊,例如雲端憑證、SSH金鑰與帳戶Token等,並偷偷傳送到遠端伺服器。
相關技術細節
- 攻擊者透過GitHub Actions流程植入惡意程式,並利用當前殘留的權限發動攻擊。
- 惡意行為主要透過VSCode擴充功能釋出,但Trivy的程式碼本身未被修改。
- 攻擊手法被稱為「狸貓換太子」,即以合法工具為掩護,植入惡意功能。
- 相關事件已引發開發社群廣泛關注,並建議使用者立即檢查其CI/CD流程中的Trivy配置。