Trivy Security Scanner को Major Supply-Chain Attack से Hit किया गया

Scanner धमकी बन गया

Trivy एक security tool है। Organizations इसका उपयोग विशेष रूप से अपनी software development pipelines को container images और code repositories में known vulnerabilities और hardcoded secrets को स्कैन करके सुरक्षित रखने के लिए करते हैं। GitHub पर 33,200 stars के साथ, यह DevSecOps ecosystem में सबसे व्यापक रूप से तैनात security scanning tools में से एक है। यह reach इसे एक असाधारण रूप से उच्च-मूल्य वाला target बना गया।

Itay Shakury, Aqua Security पर एक Trivy maintainer, ने पुष्टि की कि threat actors ने चोरी किए गए credentials का उपयोग करके दो मुख्य GitHub Actions components के लगभग सभी tagged versions में malicious dependencies को force-push किया: trivy-action और setup-trivy। हमला एक Thursday morning के शुरुआती घंटों में शुरू हुआ और घंटों तक detect नहीं हुआ, जिसके दौरान दुनिया भर की automated CI/CD pipelines ने compromised code को pull और execute किया हो सकता है।

Force-Pushing का अर्थ

एक force-push एक git operation है जो existing commits को overwrite किए जाने से protect करने वाली safety mechanisms को override करता है। GitHub Actions के लिए विशेष रूप से, यह विशेष रूप से खतरनाक है। जब developers अपनी CI/CD workflows को एक specific Trivy action tag में pin करते हैं — एक सामान्य security practice जो reproducibility सुनिश्चित करने के लिए intended है — वे विश्वास करते हैं कि tag हमेशा की तरह same code को point करता है। उन tags में malicious commits को force-push करना इस assumption को silently break कर देता है: pipeline configuration unchanged दिखता है लेकिन अब attacker-controlled code को execute करता है जिसमें जो भी permissions CI/CD environment provide करता है।

Malicious Code ने क्या किया

Compromised tags के विश्लेषण ने संकेत दिया कि attackers ने Trivy की legitimate dependencies को malicious replacements से substitute किया जो CI/CD runner environment के भीतर code को execute करने के लिए designed थे। लक्ष्य secrets तक access था — API tokens, cloud credentials, signing keys, और अन्य sensitive values जो developers routinely pipelines में pass करते हैं।

एक compromised Trivy action जो GitHub Actions workflow में running है, जिसके लिए workflow के पास access है उस सभी के लिए access है, जो कई organizations में production deployment credentials, cloud provider authentication, artifact signing keys, और source code repositories शामिल हैं। एक single exfiltration का potential blast radius cloud infrastructure compromise, data breaches, और production software में malicious code के insertion में cascade हो सकता है।

Response और Broader Context

Aqua Security ने compromise confirm होने के बाद quickly move किया, credentials को rotate किया और सभी affected tags को legitimate code में restore किया। Team ने सभी users को advise किया कि किसी भी pipeline को treat करें जिसने compromise window के दौरान Trivy actions को run किया, जैसे potentially affected और सभी accessible secrets को immediately rotate करें।

Security community का consensus: GitHub Actions को mutable tag names की बजाय specific commit SHA hashes में pin करें। Tags को force-push किया जा सकता है; commit hashes को detection के बिना silently replace नहीं किया जा सकता है। यह known best practice lagging adoption देखा है, और यह incident likely organizational CI/CD policy changes को accelerate करेगा। यह attack modern software development को underpin करने वाले open-source tooling को target करने वाली supply-chain compromises की lengthening list में latest entry है — एक trend जो slowing का कोई संकेत नहीं दिखा रहा है।

यह article Ars Technica की reporting पर based है। मूल article पढ़ें.