🛡 Вразливість

Компрометація сканера вразливостей Trivy: розповсюдження інфостілера через GitHub Actions

📅 21 березня 2026 ·🕐 17:30 · 🔐 bleepingcomputer.com · 📖 ~4 хв читання

Популярний сканер вразливостей Trivy став жертвою атаки на ланцюг поставок, організованої групою TeamPCP. Зловмисники використали офіційні релізи та GitHub Actions для розповсюдження шкідливого програмного забезпечення, що викрадає облікові дані. Цей інцидент підкреслює критичну важливість ретельної перевірки всіх компонентів програмного забезпечення, навіть від довірених джерел.

Цей інцидент є яскравим нагадуванням про те, що навіть довірені та широко використовувані інструменти з відкритим кодом можуть стати мішенню для складних атак на ланцюг поставок. Постійна пильність та глибока перевірка всіх залежностей є критично важливими для сучасної кібербезпеки.

Що сталось

Популярний інструмент для сканування вразливостей з відкритим кодом Trivy, розроблений компанією Aqua Security, зазнав компрометації внаслідок цілеспрямованої атаки на ланцюг поставок. Група зловмисників, відома як TeamPCP, успішно інтегрувала шкідливе програмне забезпечення для викрадення облікових даних (інфостілер) в офіційні релізи Trivy. Це дозволило їм поширювати малварь серед користувачів, які завантажували скомпрометовані версії або використовували відповідні робочі процеси GitHub Actions.

Технічні деталі

Атака на ланцюг поставок передбачає компрометацію одного з етапів розробки або розповсюдження програмного забезпечення. У випадку з Trivy, зловмисники отримали доступ до механізмів публікації, зокрема до робочих процесів GitHub Actions. Ці автоматизовані сценарії, що використовуються для безперервної інтеграції та розгортання (CI/CD), були модифіковані для включення шкідливого коду. В результаті, будь-який користувач, який виконував збірку або розгортання за допомогою скомпрометованих GitHub Actions, або завантажував офіційні релізи, що містили інфостілер, піддавався ризику зараження. Інфостілер призначений для збору конфіденційної інформації, такої як облікові дані, токени доступу та інша чутлива інформація з заражених систем.

Кому загрожує

Цей інцидент становить серйозну загрозу для широкого кола користувачів та організацій. До групи ризику входять:

Розробники та команди DevOps: які використовують Trivy як частину своїх CI/CD пайплайнів, особливо інтегрованих з GitHub Actions.
Фахівці з кібербезпеки: які застосовують Trivy для сканування вразливостей у своїх проектах або інфраструктурі.
Будь-які організації: що покладаються на Trivy для забезпечення безпеки своїх контейнерів, образів та файлових систем.

Викрадення облікових даних може призвести до несанкціонованого доступу до репозиторіїв коду, хмарних ресурсів, внутрішніх систем та інших критично важливих активів, потенційно відкриваючи шлях для подальших атак та компрометації інфраструктури.

Рекомендації

Для мінімізації ризиків та усунення наслідків компрометації рекомендується виконати наступні кроки:

Негайна перевірка версій Trivy: Переконайтеся, що ви використовуєте лише офіційні, перевірені та оновлені версії Trivy. Видаліть будь-які потенційно скомпрометовані інсталяції.
Аудит GitHub Actions: Ретельно перегляньте всі робочі процеси GitHub Actions, пов'язані з Trivy, на предмет будь-яких несанкціонованих змін або включення підозрілих скриптів.
Ротація облікових даних: Змініть усі облікові дані (паролі, API-ключі, токени), які могли бути скомпрометовані на системах, де виконувався заражений Trivy або скомпрометовані GitHub Actions.
Впровадження практик безпеки ланцюга поставок: Використовуйте інструменти для аналізу складу програмного забезпечення (SCA), перевіряйте цифрові підписи компонентів та впроваджуйте принципи найменших привілеїв.
Моніторинг мережевого трафіку: Відстежуйте аномалії в мережевому трафіку з систем, де міг бути запущений скомпрометований Trivy, шукаючи ознаки зв'язку з командно-контрольними серверами.
Освіта та обізнаність: Проводьте регулярні тренінги для розробників та фахівців з безпеки щодо ризиків атак на ланцюг поставок та важливості перевірки зовнішніх залежностей.

🔗 Джерело: BleepingComputer →