Компрометация Trivy: вредоносная версия и кража учетных данных

19 марта 2026 года open source сканер уязвимостей Trivy, поддерживаемый Aqua Security, снова столкнулся с серьезным инцидентом безопасности. На этот раз речь идет о выпуске v0.69.4, содержащем вредоносный код и признаки компрометации supply chain.

Происшествие стало продолжением атаки, зафиксированной 28 февраля, когда автономный bot использовал GitHub workflow для кражи personal access token. Это привело к ряду дальнейших действий злоумышленника, включая приватизацию repository и отправку вредоносного artifact на marketplace.

Что обнаружили исследователи

По данным расследования, компрометированная версия 0.69.4 содержала malicious code, который устанавливал соединение с typo-squatted C2 domain, предназначенным для exfiltration данных.

Отдельное внимание привлекли изменения в aquasecurity/setup-trivy на GitHub. Анализ показал наличие malicious commit с обширным credential stealing mechanism, встроенным в file configuration.

Этот механизм был нацелен на сбор:

• environment variables;
• memory данных из GitHub Actions Runner;
• SSH credentials;
• AWS credentials;
• Azure credentials;
• GCP credentials;
• Docker configurations;
• и других чувствительных данных.

Украденная информация шифровалась с использованием RSA-4096 и отправлялась на домен C2, указанный злоумышленником.

Запасной сценарий атаки

Если основное соединение с C2 не срабатывало, похититель данных должен был загрузить информацию в публичный GitHub repository, созданный в учетной записи жертвы. Такой подход повышал устойчивость атаки и усложнял обнаружение эксфильтрации.

Дополнительно отмечается, что из действия по настройке compromised-trivy были удалены все version tags, кроме одного. Это может указывать на попытку злоумышленника затруднить обнаружение инцидента и замедлить response.

Признаки координации и сокрытия следов

Расследование также зафиксировало присутствие spam bot accounts в обсуждениях, посвященных инциденту. Это может свидетельствовать о coordinated efforts, направленных на подавление обсуждения и снижение эффективности damage control.

Инструмент StepSecurity Harden-Runner обнаружил outbound connections из нескольких проектов, использующих compromised Trivy actions, к домену C2. Выявлению помог мониторинг network events, связанных с вредоносными запусками, а также фиксация подозрительного поведения, включая:

• необычные requests к домену C2;
• несанкционированное чтение memory из Runner workflow;
• другие признаки активности, характерной для stolen code.

Рекомендации для организаций

В связи с инцидентом организациям рекомендуется немедленно провести проверку своих workflow на наличие compromised actions, а также:

• сменить все доступные credentials;
• пересмотреть интеграции и permissions;
• убедиться, что дополнительные vulnerabilities не остались без внимания;
• проверить журналы на наличие подключений к C2 domain;
• оценить возможное воздействие на CI/CD environment.

Пользователям, которые используют binary files Trivy напрямую, следует особенно внимательно изучить logs, чтобы исключить дальнейшее воздействие компрометированной версии.

Вывод

Инцидент с Trivy стал очередным напоминанием о том, насколько уязвимой может быть software supply chain, особенно в средах CI/CD. В подобных атаках злоумышленники делают ставку не только на кражу credentials, но и на сокрытие следов, подмену артефактов и воздействие на процессы реагирования.

Событие подчеркивает необходимость безопасного coding practices, регулярного аудита permissions и тщательной проверки всех integrations в цепочке поставки ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Компрометация Trivy: вредоносная версия и кража учетных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.