Scanner হুমকি হয়ে উঠেছে
Trivy একটি security tool। Organizations তাদের software development pipelines কে container images এবং code repositories তে known vulnerabilities এবং hardcoded secrets এর জন্য স্ক্যান করে সুরক্ষিত রাখে। GitHub এ 33,200 stars সহ, এটি DevSecOps ecosystem এ সবচেয়ে ব্যাপকভাবে deployed security scanning tools এর মধ্যে একটি। এই reach এটিকে একটি ব্যতিক্রমীভাবে উচ্চ-মূল্য target বানিয়েছে।
Itay Shakury, Aqua Security এ একজন Trivy maintainer, নিশ্চিত করেছেন যে threat actors চুরি করা credentials ব্যবহার করে দুটি মূল GitHub Actions components এর প্রায় সমস্ত tagged versions এ malicious dependencies force-push করেছে: trivy-action এবং setup-trivy। Attack শুরু হয়েছিল Thursday morning এর শুরুর ঘণ্টায় এবং কয়েক ঘণ্টার জন্য detect করা হয়নি, যে সময় বিশ্বব্যাপী automated CI/CD pipelines compromised code pull এবং execute করে থাকতে পারে।
Force-Pushing এর অর্থ
Force-push হল একটি git operation যা existing commits কে overwrite করা থেকে সুরক্ষিত রাখে এমন safety mechanisms কে override করে। GitHub Actions এর জন্য বিশেষত, এটি বিশেষভাবে বিপজ্জনক। যখন developers তাদের CI/CD workflows কে একটি নির্দিষ্ট Trivy action tag এ pin করে — reproducibility নিশ্চিত করার জন্য উদ্দিষ্ট একটি সাধারণ security practice — তারা বিশ্বাস করে যে tag সর্বদা same code কে point করে। সেই tags এ malicious commits force-push করা এই assumption কে silently break করে: pipeline configuration অপরিবর্তিত দেখায় কিন্তু এখন attacker-controlled code execute করে CI/CD environment যেকোনো permissions প্রদান করে।
Malicious Code কী করেছে
Compromised tags এর বিশ্লেষণ নির্দেশ করেছে যে attackers Trivy এর legitimate dependencies কে malicious replacements দ্বারা প্রতিস্থাপিত করেছে CI/CD runner environment এর মধ্যে code execute করার জন্য designed। লক্ষ্য ছিল secrets এ access — API tokens, cloud credentials, signing keys, এবং অন্যান্য sensitive values যা developers routinely pipelines এ pass করে।
একটি compromised Trivy action যা GitHub Actions workflow এ running আছে যার কাছে workflow যার কাছে access আছে সেই সবকিছুতে access আছে, যা অনেক organizations এ production deployment credentials, cloud provider authentication, artifact signing keys, এবং source code repositories অন্তর্ভুক্ত। একটি single exfiltration এর potential blast radius cloud infrastructure compromise, data breaches, এবং production software এ malicious code insertion এ cascade হতে পারে।
Response এবং Broader Context
Aqua Security compromise confirm হওয়ার পর দ্রুত কাজ করেছে, credentials rotate করেছে এবং সমস্ত affected tags কে legitimate code তে restore করেছে। Team সমস্ত users কে advise করেছে যে compromise window এর সময় Trivy actions run করেছে এমন যেকোনো pipeline কে potentially affected হিসাবে treat করুন এবং সমস্ত accessible secrets কে অবিলম্বে rotate করুন।
Security community consensus: GitHub Actions কে mutable tag names এর পরিবর্তে নির্দিষ্ট commit SHA hashes এ pin করুন। Tags force-push করা যায়; commit hashes detection ছাড়া silently replace করা যায় না। এই known best practice lagging adoption দেখেছে, এবং এই incident likely organizational CI/CD policy changes accelerate করবে। এই attack modern software development কে underpin করে এমন open-source tooling কে target করা supply-chain compromises এর lengthening list এ latest entry — একটি trend যা slowing এর কোনো চিহ্ন দেখায় না।
এই article Ars Technica reporting এর উপর based। মূল article পড়ুন.
