NewsMore in News →
Trivy Security Scanner को Major Supply-Chain Attack से Hit किया गया
Hackers ने चोरी किए गए credentials का उपयोग करके Trivy vulnerability scanner के लगभग सभी versions में malicious dependencies को force-push किया, जिससे हजारों organizations के CI/CD pipelines को संभावित रूप से compromise किया गया और emergency credential rotation response को प्रेरित किया गया।
Key Takeaways
- चोरी किए गए credentials ने लगभग सभी trivy-action और setup-trivy tags में malicious dependencies को force-push करने की अनुमति दी
- Force-pushing commit history को silently replace करता है जबकि tag names unchanged रहते हैं, developer detection को evade करते हुए
- Compromised actions के पास सभी CI/CD secrets तक access था जिसमें production deployment credentials शामिल हैं
- Experts recommend करते हैं कि Actions को mutable tag names की बजाय immutable commit SHA hashes में pin किया जाए
DE
DT Editorial AI··via arstechnica.com