Skip to content

현재 진행 중인 공급망 공격으로 인해 널리 사용되는 Trivy 스캐너가 손상되었습니다.

Posted in tech

해커들은 이를 사용하는 개발자와 조직에 광범위한 결과를 초래할 수 있는 지속적인 공급망 공격에서 Aqua Security의 널리 사용되는 Trivy 취약점 스캐너의 거의 모든 버전을 손상시켰습니다.

Trivy 관리자 Itay Shakury는 공격자가 삭제한 이후 이 사건을 논의하는 소문과 스레드에 따라 금요일에 타협을 확인했습니다. 공격은 목요일 이른 시간에 시작되었습니다. 작업이 완료되었을 때 위협 행위자는 악의적인 종속성을 사용하기 위해 훔친 자격 증명을 사용하여 trivy-action 태그 중 하나와 7개의 setup-trivy 태그를 제외한 모든 태그를 강제 푸시했습니다.

파이프라인이 손상되었다고 가정합니다.

강제 푸시는 기존 커밋 덮어쓰기를 방지하는 기본 안전 메커니즘을 재정의하는 git 명령입니다. Trivy는 개발자가 소프트웨어 업데이트를 개발하고 배포하기 위해 파이프라인에서 취약점과 부주의하게 하드코딩된 인증 비밀을 감지하는 데 사용하는 취약점 스캐너입니다. 이 스캐너는 GitHub에서 별 33,200개를 받았는데, 이는 널리 사용되고 있음을 나타내는 높은 등급입니다.

Shakury는 “손상된 버전을 실행하고 있다고 의심되는 경우 모든 파이프라인 비밀을 손상된 것으로 간주하고 즉시 교체하세요.”라고 썼습니다.

보안 회사인 Socket과 Wiz는 손상된 75개의 trivy-action 태그에서 실행된 악성 코드로 인해 맞춤형 악성 코드가 개발자 시스템을 포함한 개발 파이프라인에서 GitHub 토큰, 클라우드 자격 증명, SSH 키, Kubernetes 토큰 및 기타 비밀 정보를 철저하게 샅샅이 뒤지게 된다고 밝혔습니다. 악성코드가 발견되면 데이터를 암호화하여 공격자가 제어하는 ​​서버로 보냅니다.

최종 결과는 손상된 버전 태그를 참조하는 소프트웨어를 사용하는 모든 CI/CD 파이프라인이 Trivy 스캔이 실행되자마자 코드를 실행한다는 것입니다. 스푸핑된 버전 태그에는 널리 사용되는 @0.34.2, @0.33 및 @0.18.0이 포함됩니다. 버전 @0.35.0은 영향을 받지 않은 유일한 것으로 보입니다.

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다