Trivy Security Scanner ला Major Supply-Chain Attack मारून गेले

Scanner धमकी बनला

Trivy हे एक security tool आहे. Organizations त्यांच्या software development pipelines ला container images आणि code repositories मध्ये known vulnerabilities आणि hardcoded secrets साठी स्कॅन करून सुरक्षित ठेवतात. GitHub वर 33,200 stars सह, हे DevSecOps ecosystem मध्ये सर्वाधिक विस्तृतपणे तैनात security scanning tools मधील एक आहे. या reach ने त्यास अत्यंत उच्च-मूल्य target बनवले.

Itay Shakury, Aqua Security मधील एक Trivy maintainer, यांनी पुष्टी केली की threat actors ने चोरीचे credentials वापरून दोन मुख्य GitHub Actions components च्या जवळजवळ सर्व tagged versions मध्ये malicious dependencies ला force-push केले: trivy-action आणि setup-trivy. हा attack Thursday morning च्या सुरुवातीच्या तासांमध्ये सुरू झाला आणि काही तास detect झाला नाही, या दरम्यान जगभर च्या automated CI/CD pipelines ने compromised code ला pull आणि execute केले असावे.

Force-Pushing म्हणजे काय

Force-push हा एक git operation आहे जो existing commits ला overwrite केल्या जाण्यापासून रक्षण करणारा safety mechanisms ला override करतो. GitHub Actions साठी विशेषतः, हे अत्यंत धोकादायक आहे. जेव्हा developers त्यांच्या CI/CD workflows ला विशिष्ट Trivy action tag मध्ये pin करतात — reproducibility सुनिश्चित करण्यासाठी अभिप्रेत सामान्य security practice — ते विश्वास करतात की tag नेहमी same code ला निर्दिष्ट करते. त्या tags मध्ये malicious commits ला force-push करणे या assumption ला silently break करते: pipeline configuration unchanged दिसते पण आता attacker-controlled code ला execute करते CI/CD environment कोणतीही permissions प्रदान करते.

Malicious Code ने काय केले

Compromised tags च्या विश्लेषणाने संकेत दिला की attackers ने Trivy च्या legitimate dependencies ला malicious replacements ने बदलले जे CI/CD runner environment मध्ये code execute करण्यासाठी designed होते. लक्ष्य secrets ला access होता — API tokens, cloud credentials, signing keys, आणि इतर sensitive values जे developers routinely pipelines मध्ये pass करतात.

एक compromised Trivy action जो GitHub Actions workflow मध्ये running आहे यास workflow कडे access असलेले काहीही, अनेक organizations मध्ये production deployment credentials, cloud provider authentication, artifact signing keys, आणि source code repositories समाविष्ट आहे. एक single exfiltration चा potential blast radius cloud infrastructure compromise, data breaches, आणि production software मध्ये malicious code insertion मध्ये cascade होऊ शकतो.

Response आणि Broader Context

Aqua Security ने compromise confirm झाल्यानंतर लवकरपणे move केले, credentials ला rotate केले आणि सर्व affected tags ला legitimate code वर restore केले. Team ने सर्व users ला advise केले की compromise window दरम्यान Trivy actions ला run करणारे कोणतेही pipeline ला potentially affected म्हणून treat करा आणि सर्व accessible secrets ला लगेच rotate करा.

Security community ची consensus: GitHub Actions ला mutable tag names ऐवजी विशिष्ट commit SHA hashes ला pin करा. Tags ला force-push केले जाऊ शकते; commit hashes ला detection विना silently replace केले जाऊ शकत नाही. या known best practice ने lagging adoption पाहिले आहे, आणि हा incident organizational CI/CD policy changes ला लगेच accelerate करण्याची शक्यता आहे. हा attack modern software development ला underpin करणारे open-source tooling ला target करणारे supply-chain compromises च्या lengthening list मध्ये latest entry आहे — एक trend जो slowing चे कोणतेही चिन्ह दर्शवत नाही.

हा article Ars Technica reporting वर based आहे. मूल article वाचा.