Die Software-Entwicklungssicherheit war nach einer neuen Welle von Supply Chain-Angriffen wieder der Fokus auf die Aufmerksamkeit: Verseilte Versionen des von Docker Hub vertriebenen Trivy-Verwundbarkeitssscanners dienten als Vektor, um Anmeldeinformationen zu filtern und Malware über die ursprüngliche Umgebung hinaus zu verbreiten. Der Umfang ist nicht auf ein einfaches, engagiertes Bild beschränkt: Die Effekte wurden in Repositories, GitHub-Aktionen und Open Source-Ökosystempaketen gefühlt..
Laut den Forschern, die die Kampagne analysiert haben, wurden die neuesten zuverlässigen öffentlichen Versionen von Trivy in Docker Hub vom 0.69.3 Label ausgeliefert; unmittelbar danach wurden Bilder mit 0,69.4, 0.69.5 und 0.69.6 als schädlich und entfernt. Sie können die historischen Etiketten auf der offiziellen Image-Repository-Seite überprüfen aquasec / trivy in Docker Hub.
Das von Analysten beschriebene Angriffsmuster zeigt auf eine Ketten Eskalation: ein schädlicher Schauspieler nutzte engagierte Anmeldeinformationen, um Versionen von Trivy mit einem eingebetteten Anmeldeinformationen Dieb hochzuladen, und es gelang auch, Änderungen in zwei GitHub-Aktionen im Zusammenhang mit dem Projekt zu injizieren - diejenigen, die die Integration von Trivy in Pipelines erleichtern - die die Oberfläche der Infektion in CI / CD-Umgebungen multiplizieren. Die technischen Detail- und Verpflichtungsindikatoren wurden vom Team der Socket Security in diesem Bericht dokumentiert. über die Bilder von Trivy engagiert.
Diese Störung war nicht isoliert: Mit den ausgefilterten Anmeldeinformationen konnten die Angreifer Pakete im npm-Record kompromittieren und eine selbstreplizierende Bedrohung, die als CanisterWorm bekannt ist, verteilen. Unabhängige Forscher verfolgten die Kampagne die Aktionen einem Schauspieler namens TeamPCP, der bereits Interesse an Cloud-Infrastruktur und nativen Komponenten wie APIs de Docker, Kubernetes Clustern und exponierten Dienstleistungen gezeigt hatte.
Die Auswirkungen auch auf die Aqua Security Organisation. Laut dem forensischen Tracking, das vom Team OpenSourceMalware veröffentlicht wurde, 44 interne Repositories der Organisation aquasec@-@com in GitHub wurden in einem sehr kurzen Zeitintervall umbenannt und öffentlich belichtet, was einen automatisierten Betrieb durch einen engagierten Token eines Service-Kontos nahelegte. Die auf seinem Blog verfügbare technische Analyse erklärt, wie ein persistenter Token (aus dem "Argon-DevOps-Mgt"-Service) als Schlüssel zum Schreiben in mehreren Organisationen diente und den Kettenschaden verstärkte: Analyse des Engagements.
Technische Berichte haben auch die Entwicklung der Fähigkeiten der angreifenden Gruppe dokumentiert: Neben dem Diebstahl der Anmeldeinformationen und der Verteilung von Würmern wurden Nutzlasten identifiziert, die auf Sabotageumgebungen ausgelegt sind. Forscher der Aikido-Firma beschreiben eine Komponente, die nach den in ihrem Skript enthaltenen Regeln privilegierte DaemonSet in jedem Kubernetes-Knoten bereitstellt und in Systemen mit iranisch orientierten geographischen Erfassungen Massenlöschungen und Zwangsreboot-Routinen durchführt. Der technische Artikel von Aikido geht davon aus, wie sich diese Belastung und die Trennung von Handlungen nach dem Zielort verhalten: Analyse der Nutzlast und ihrer Auswirkungen auf K8s.
Wenn aus diesem Vorfall eine klare Lektion besteht, kann eine einzige schwache Verbindung in der Lieferkette (z.B. ein Service-Account mit einem langfristigen Token) kaskade Folgen haben. Persistente Anmeldeinformationen und zu breite Genehmigungen sind genau das, was Angreifer versuchen, sich seitlich zu bewegen und automatisierte Arbeitsabläufe zu vergiften..
Für Teams, die Trivy in ihren Pipelines verwenden, sind sofortige Empfehlungen zu erkennen: Betroffene Versionen vermeiden, die jüngsten Hinrichtungen überprüfen und sich verpflichten, wenn diese Bilder oder Aktionen in kritischen Prozessen verwendet wurden. Das Projektarchiv von Trivy in GitHub und seine Betreuer haben offizielle Informationen über Forschung und sichere Versionen veröffentlicht, so dass es angemessen ist, mit der Primärquelle zu kontrastieren: Trivy Repository in GitHub.
Über das Ersetzen oder Blockieren von Bildern hinaus sollte die Antwort auf Anmeldeinformationen Hygienemaßnahmen beinhalten: Token und verdächtige Schlüssel zu widerrufen, die Lebensdauer von Diensten zu reduzieren, Berechtigungen zu überprüfen, die automatisierten Konten zugeordnet sind und weniger privilegierte Prinzipien in der Inter-Organisationsintegration anwenden. Es ist auch ratsam, die Kontrolle des Zugriffs auf Docker-APIs zu stärken (z.B. zu vermeiden, Port 2375 ohne Authentifizierung) und Netzwerksegmentierung anzuwenden, die verhindert, dass ein engagierter Server Agenten auf lokale Subnetze ausbreitet.
Auf organisatorischer Ebene ist es angebracht, diese Aktionen mit Erkennung und Antwort zu ergänzen: CI / CD-Logs auf der Suche nach anormalen Ausführungen zu überprüfen, die Integrität der eingesetzten Artefakte zu überprüfen und Unterschriften und Quellennachweise für Bilder in der Produktion zu verwenden. Öffentliche Sicherheitsbehörden und Teams haben in der Software-Versorgungskette Risikominderungs-Führungen veröffentlicht; ihre Konsultation kann dazu beitragen, die Vorfallskontroll- und Antwortpolitiken zu formalisieren, beispielsweise im CISA-Ressourcen-Repository zum Risikomanagement in der Software-Versorgungskette ( CISA - Software Supply Chain Risk Management)
Es ist wichtig zu erinnern, dass es bei solchen Angriffen nicht immer ein sichtbares Opfer gibt: Die Organisation, die das betreffende Projekt besitzt, kann zu einer unfreiwilligen Plattform werden, um Zehn oder Hunderte von Verbrauchern seiner Software zu engagieren. Das Vertrauen in Komponenten und Handlungen von Drittanbietern muss kontinuierlich validiert werden, nicht für das Leben angenommen.
Während Forensic-Teams und Plattformmanager weiterhin Vektoren korrigieren und Verpflichtungsindikatoren veröffentlichen, müssen Unternehmen und Entwickler unverzüglich Maßnahmen ergreifen, um die Auswirkungen zu enthalten und kleine lokale Fehler zu massiven Lücken zu verhindern. Die Software-Lieferkette ist so stark wie die schwächste Verbindung: Die Minimierung dieser Schwächen ist jetzt eine unausweichliche Priorität.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...