Napadalci TeamPCP kompromitirali Trivy skener ranljivosti

Trivy, ena najpogosteje uporabljenih odprtokodnih rešitev za skeniranje varnostnih ranljivosti v kontejnerjih in aplikacijah, je postala žrtev resnega varnostnega incidenta. Skupina napadalcev, znana kot TeamPCP, je uspešno kompromitirala projekt in preko uradnih izdaj ter GitHub Actions distribucije razširjala zlonamerno programsko opremo za krajo občutljivih podatkov.

Incident predstavlja klasičen primer napada na dobavno verigo (supply-chain attack), kjer napadalci namesto direktnega ciljanja končnih uporabnikov kompromitirajo zaupanja vredno orodje, ki ga uporabljajo na tisoče razvijalcev in varnostnih strokovnjakov po vsem svetu. Trivy, ki ga vzdržuje podjetje Aqua Security, je priljubljen predvsem zaradi zmožnosti odkrivanja ranljivosti v Docker slikah, Kubernetes gručah in različnih programskih paketih.

TeamPCP je znan po ciljanju razvojnih orodij in infrastrukture. V tem primeru so napadalci izkoristili dostop do GitHub repozitorija projekta in prilagodili GitHub Actions delovne tokove tako, da so v uradno podpisane različice Trivy vnesli kodo za krajo poverilnic. Ta pristop je še posebej zaskrbljujoč, saj GitHub Actions pogosto deluje z visokimi privilegiji in dostopa do občutljivih podatkov v CI/CD okoljih.

Kompromitirana različica orodja je poleg legitimnega skeniranja ranljivosti v ozadju zbирala različne občutljive podatke, vključno z okolijskimi spremenljivkami, kjer so pogosto shranjeni API ključi, gesla in drugi dostopni žetoni. Pridobljene podatke je nato pošiljala na oddaljene strežnike pod nadzorom napadalcev.

Varnostni strokovnjaki uporabnikom Trivy priporočajo takojšnjo prekinitev uporabe potencialno kompromitiranih različic in posodobitev na očiščeno izdajo. Organizacije bi morale pregledati vse sisteme, kjer je bil Trivy nameščen, preveriti dnevniške zapise za sumljivo aktivnost in rotirati vse poverilnice, ki bi lahko bile izpostavljene. Incident ponovno poudarja kritično pomembnost preverjanja integritete programske opreme, uporabe podpisanih izdaj in implementacije stroge segmentacije pravic v razvojnih okoljih.

Aqua Security je incident potrdil in objavil podrobne tehnične informacije o kompromitiranih različicah ter kazalcih ogrožanja (IoC), ki organizacijam pomagajo pri odkrivanju morebitne okužbe v njihovi infrastrukturi.


Vir: https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/
Originalna objava: 2026-03-21
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply