Hakeri su kompromitirali gotovo sve verzije popularnog skenera ranjivosti Aqua Security, Trivy, u okviru tekućeg napada na opskrbni lanac koji bi mogao imati dalekosežne posljedice za developere i organizacije koje ih koriste.
Održavatelj Trivyja, Itay Shakury, potvrdio je kompromitaciju u petak, nakon što su se pojavile glasine i rasprava koja je od strane napadača brzo izbrisana. Napad je započeo u ranim satima četvrtka. Kada je završen, napadač je iskoristio ukradene vjerodajnice kako bi prisilno gurnuo sve osim jedne trivy-action oznake i sedam setup-trivy oznaka kako bi koristio zloćudne ovisnosti.
Pretpostavite da su vaši procesi kompromitirani. Prisilno gurnuti je git naredba koja nadmašuje uobičajeni sigurnosni mehanizam koji štiti od prepisivanja postojećih potvrda. Trivy je skener ranjivosti koji developeri koriste za otkrivanje ranjivosti i nenamjerno hardkodiranih autentifikacijskih tajni u procesima razvoja i implementacije ažuriranja softvera. Skener ima 33.200 zvjezdica na GitHubu, što ukazuje na njegovu široku upotrebu.
“Ako sumnjate da ste koristili kompromitiranu verziju, tretirajte sve tajne u procesima kao kompromitirane i odmah ih promijenite,” napisao je Shakury.
Sigurnosne tvrtke Socket i Wiz izjavile su da zloćudni softver, aktiviran u 75 kompromitiranih trivy-action oznaka, uzrokuje da prilagođeni malver temeljito pretražuje razvojne procese, uključujući računala developera, u potrazi za GitHub tokenima, cloud vjerodajnicama, SSH ključevima, Kubernetes tokenima i drugim tajnama koje se tamo mogu nalaziti. Nakon što ih pronađe, malver enkriptuje podatke i šalje ih na poslužitelj pod kontrolom napadača.
Konačni rezultat, navodi Socket, je da svaki CI/CD proces koji koristi softver koji se oslanja na kompromitirane verzije oznaka izvršava kod čim se pokrene Trivy skeniranje. Lažne verzije oznaka uključuju široko korištene @0.34.2, @0.33 i @0.18.0. Verzija @0.35.0 čini se da je jedina koja nije pogođena.
