Trivy 供应链攻击蔓延至 Docker、GitHub 仓库

Source: Bleeping Computer

概述

TeamPCP 黑客在 Trivy 供应链攻击后继续针对 Aqua Security，推送恶意 Docker 镜像并劫持该公司的 GitHub 组织，以篡改数十个仓库。这紧随威胁行为者入侵了 Trivy 的 GitHub 构建流水线，即 Aqua Security 的扫描器，利用供应链攻击在周末将信息窃取恶意软件传播至 Docker Hub。

Trivy 在 GitHub 上拥有超过 33,800 星，广泛用于检测软件制品和基础设施中的漏洞、错误配置以及泄露的密钥。

受损的 Docker 镜像

供应链安全公司 Socket 在周日的一份报告中称，他们发现了发布到 Docker Hub 的受损 Trivy 制品。

“2023 年 3 月 22 日推送了新镜像标签 0.69.5 和 0.69.6，但没有相应的 GitHub 发布或标签，”Socket 的研究人员说。根据他们的分析，这两个镜像包含与 TeamPCP 在获取 Aqua Security 的 GitHub 组织访问权限后推送的情报窃取工具相关的妥协指示器。

研究人员指出，已知的最新 Trivy 发行版是 0.69.3，并警告称，即使他们没有看到任何旧镜像或二进制文件在发布后被修改的证据，Docker Hub 标签并非不可变的，组织不应仅依赖标签名称来保证完整性。

侵入 AquaSec 的 GitHub

2023 年 3 月 20 日，Aqua Security 表示，威胁行为者因对本月初针对同一工具的先前事件未完成遏制（archive link）而获得了公司 GitHub 组织的访问权限。

“我们已轮换了密钥和令牌，但此过程并非原子化，攻击者可能已经获取了刷新后的令牌，” – Aqua Security

这使得攻击者能够向 Trivy 注入收集凭证的代码（TeamPCP Cloud 窃取器），并发布该工具的恶意版本。Aqua 于 3 月 20 日发布了新的安全版本的 Trivy，并聘请事件响应公司 Sygnia 进行修复和取证调查。

通过今天发布的更新，Aqua 指出 3 月 22 日出现了额外的可疑活动，表明同一威胁行为者重新获得了未授权访问并执行了“未授权的更改和仓库篡改”。公司强调，当时 Trivy 本身并未受到影响。

OpenSourceMalware 的分析解释说，TeamPCP 侵入了 aquasec‑com GitHub 组织（Aqua Security 在此托管专有代码），该组织与公开的 aquasecurity 组织是分开的。黑客使用自动化脚本，在私有组织的所有 44 个仓库前添加前缀 tpcp‑docs‑，并将其描述改为 “TeamPCP Owns Aqua Security”。

研究人员高度确信攻击者入侵了名为 Argon‑DevOps‑Mgt 的服务账户，该账户同时拥有两个 GitHub 组织的访问权限。该账户使用的是普通用户的个人访问令牌（PAT），而非 GitHub App。PAT 的认证方式类似密码，且有效期比 GitHub App 令牌更长，且该服务账户未启用多因素认证（MFA）。

为展示管理员权限，TeamPCP 在公开的 aquasecurity/trivy-plugin-aqua 仓库中创建了一个名为 update-plugin-links-v0.218.2 的新分支，并在同一秒将其删除。研究人员认为，Argon‑DevOps‑Mgt 服务账户的 PAT 是通过 TeamPCP Cloud 窃取器获取的，该窃取器会收集 GitHub 令牌、SSH 密钥、云凭证以及 CI 运行器中的环境变量。

“作为在 trivy‑plugin‑aqua 上触发工作流的服务账户，其令牌出现在运行器环境中，” – OpenSourceMalware

OpenSourceMalware 已提供一套妥协指示器，帮助防御者判断其环境是否受到供应链攻击的影响。

Aqua Security 表示，没有证据表明其商业产品中使用的 Trivy 版本受到影响。“从设计上看，Aqua 商业平台的分支版本会落后于 Trivy 开源版，并通过受控的集成流程进行同步。”公司承诺将在有新细节时共享更新。