Trivy Security Scanner Major Supply-Chain Attack ஆல் தாக்கப்பட்டது

Scanner ஒரு Threat ஆனது

Trivy ஒரு security tool ஆகும். Organizations தங்கள் software development pipelines ஐ container images மற்றும் code repositories ல் known vulnerabilities மற்றும் hardcoded secrets ஐ scanning செய்வதன் மூலம் பாதுகாப்புச் செய்கின்றனர். GitHub ல் 33,200 stars உடன், இது DevSecOps ecosystem ல் மிகவும் பரவலாக deployed security scanning tools இல் ஒன்றாகும். இந்த reach இதை ஒரு விதிவிலக்கான உயர்-மதிப்பு target ஆக்கியுள்ளது.

Itay Shakury, Aqua Security இல் ஒரு Trivy maintainer, threat actors கொடுக்கப்பட்ட credentials ஐ பயன்படுத்தி இரண்டு முக்கிய GitHub Actions components இன் ஏறக்குறைய அனைத்து tagged versions க்கும் malicious dependencies ஐ force-push செய்துள்ளதை உறுதிப்படுத்தினார்: trivy-action மற்றும் setup-trivy. தாக்குதல் Thursday morning இன் ஆரம்ப மணிநேரத்தில் தொடங்கியது மற்றும் மணிநேரங்கள் detect செய்யப்படவில்லை, இந்த நேரத்தில் உலகளவாக automated CI/CD pipelines compromised code ஐ pull மற்றும் execute செய்திருக்கக்கூடும்.

Force-Pushing என்றால் என்ன

Force-push என்பது ஒரு git operation ஆகும் இது existing commits ஐ overwrite செய்வதிலிருந்து பாதுகாக்கும் safety mechanisms ஐ override செய்கிறது. GitHub Actions க்கு குறிப்பாக, இது மிகவும் ஆபத்தாகும். Developers தங்கள் CI/CD workflows ஐ ஒரு specific Trivy action tag க்கு pin செய்யும் போது — reproducibility உறுதிப்படுத்த intended ஒரு பொதுவான security practice — அவர்கள் tag எப்போதும் same code ஐ point செய்கிறது என்று நம்புகின்றனர். அந்த tags க்கு malicious commits ஐ force-push செய்வது இந்த assumption ஐ silently break செய்கிறது: pipeline configuration unchanged தோன்றுகிறது ஆனால் இப்போது attacker-controlled code ஐ execute செய்கிறது CI/CD environment எந்த permissions ஐ வழங்குகிறது.

Malicious Code என்ன செய்தது

Compromised tags இன் analysis attackers Trivy இன் legitimate dependencies ஐ malicious replacements உடன் substitute செய்துள்ளதை சுட்டிக்காட்டினர் CI/CD runner environment இல் code execute செய்ய designed. லக்ష்யம் secrets க்கான access ஆக இருந்தது — API tokens, cloud credentials, signing keys, மற்றும் பிற sensitive values developers routinely pipelines க்கு pass செய்கின்றனர்.

ஒரு compromised Trivy action GitHub Actions workflow ல் running உள்ளது இதற்கு workflow க்கு access உள்ள எதற்கும் access உள்ளது, பல organizations ல் production deployment credentials, cloud provider authentication, artifact signing keys, மற்றும் source code repositories அடங்கியுள்ளது. ஒரு single exfiltration இன் potential blast radius cloud infrastructure compromise, data breaches, மற்றும் production software க்கு malicious code insertion ல் cascade செய்யக்கூடும்.

Response மற்றும் Broader Context

Aqua Security compromise confirm செய்யப்பட்ட பிறகு விரைவாக move செய்தது, credentials ஐ rotate செய்தது மற்றும் அனைத்து affected tags ஐ legitimate code க்கு restore செய்தது. Team அனைத்து users க்கு advise செய்தது compromise window இல் Trivy actions ஐ run செய்த எந்த pipeline ஐயும் potentially affected ஆக treat செய்யுங்கள் மற்றும் அனைத்து accessible secrets ஐ உடனே rotate செய்யுங்கள்.

Security community consensus: GitHub Actions ஐ mutable tag names க்கு பதிலாக specific commit SHA hashes க்கு pin செய்யுங்கள். Tags force-push செய்யப்படக்கூடும்; commit hashes detection இல்லாமல் silently replace செய்யப்படாது. இந்த known best practice lagging adoption দேখেছது, மற்றும் இந்த incident likely organizational CI/CD policy changes ஐ accelerate செய்யும். இந்த attack modern software development ஐ underpin செய்யும் open-source tooling ஐ target செய்யும் supply-chain compromises இன் lengthening list ல் latest entry — ஒரு trend இது slowing இன் எந்த சுட்டுகையும் காட்டவில்லை.

இந்த article Ars Technica reporting ல் based. மூல article ஐ படிக்கவும்.