Trivy Security Scanner ను Major Supply-Chain Attack ద్వారా హిట్ చేయబడింది

Scanner ఒక Threat గా మారిపోయింది

Trivy ఒక security tool. Organizations దీనిని container images మరియు code repositories లను known vulnerabilities మరియు hardcoded secrets కోసం scanning చేయడం ద్వారా వారి software development pipelines ను రక్షించుకోవటానికి ఉపయోగిస్తారు. GitHub పై 33,200 stars తో, ఇది DevSecOps ecosystem లో అత్యంత విస్తృతంగా అమలు చేయబడిన security scanning tools లో ఒకటి. ఈ reach దీనిని ఎక్కువ-విలువ target గా చేసింది.

Itay Shakury, Aqua Security లో ఒక Trivy maintainer, దొరికిన credentials ను ఉపయోగించి threat actors రెండు ప్రధాన GitHub Actions components యొక్క దాదాపు సమస్త tagged versions కు malicious dependencies ను force-push చేశారని నిర్ధారించారు: trivy-action మరియు setup-trivy. ఈ attack Thursday morning యొక్క ప్రారంభ గంటల్లో ప్రారంభమైంది మరియు గంటల సేపు detect చేయబడలేదు, ఆ సమయంలో ప్రపంచ వ్యాప్త automated CI/CD pipelines compromised code ను pull మరియు execute చేసి ఉండవచ్చు.

Force-Pushing అర్థం

Force-push అనేది git operation ఇది existing commits ను overwrite చేయకుండా protect చేసే safety mechanisms ను override చేస్తుంది. GitHub Actions కోసం ప్రత్యేకంగా, ఇది చాలా ప్రమాదకరం. Developers తమ CI/CD workflows ను specific Trivy action tag కు pin చేసినప్పుడు — reproducibility నిశ్చితం చేయడానికి ఉద్దేశించిన సాధారణ security practice — అవి tag ఎల్లప్పుడూ same code ను point చేస్తుందని విశ్వసిస్తారు. ఆ tags లలో malicious commits ను force-push చేయడం ఈ assumption ను silently break చేస్తుంది: pipeline configuration unchanged దిసైనప్పటికీ ఇప్పుడు attacker-controlled code ను execute చేస్తుంది CI/CD environment ఏ permissions ఇవ్వినా.

Malicious Code ఏమి చేసింది

Compromised tags విశ్లేషణ attackers Trivy యొక్క legitimate dependencies ను malicious replacements తో substitute చేశారని సూచించింది CI/CD runner environment లో code execute చేయడానికి design చేయబడింది. లక్ష్యం secrets కు access — API tokens, cloud credentials, signing keys, మరియు ఇతర sensitive values ఆ developers routinely pipelines లలో pass చేస్తారు.

ఒక compromised Trivy action GitHub Actions workflow లో running ఇది workflow కు access ఉన్న ఏవైనా, చాలా organizations లో production deployment credentials, cloud provider authentication, artifact signing keys, మరియు source code repositories కు access ఉంది. ఒక single exfiltration యొక్క potential blast radius cloud infrastructure compromise, data breaches, మరియు production software లలో malicious code insertion కు cascade చేయవచ్చు.

Response మరియు Broader Context

Aqua Security compromise confirm చేయబడిన తర్వాత quickly move చేసింది, credentials ను rotate చేసి మరియు సమస్త affected tags కు legitimate code restore చేసింది. Team సమస్త users కు advise చేసింది compromise window సమయంలో Trivy actions ను run చేసిన ఏ pipeline ను potentially affected గా treat చేయాలని మరియు సమస్త accessible secrets ను immediately rotate చేయాలని.

Security community consensus: GitHub Actions ను mutable tag names కంటే specific commit SHA hashes కు pin చేయండి. Tags ను force-push చేయవచ్చు; commit hashes ను detection లేకుండా silently replace చేయలేము. ఈ known best practice lagging adoption చూసింది, మరియు ఈ incident likely organizational CI/CD policy changes ను accelerate చేస్తుంది. ఈ attack modern software development ను underpin చేసే open-source tooling ను target చేసే supply-chain compromises యొక్క lengthening list లో latest entry — ఒక trend ఏ slowing చిహ్నం చూపించలేదు.

ఈ article Ars Technica reporting పై based. అసలు article చదువండి.