在一场持续的供应链攻击中,黑客几乎破坏了 Aqua Security 广泛使用的 Trivy 漏洞扫描程序的所有版本,这可能对开发人员和使用它们的组织产生广泛的后果。
Trivy 维护者 Itay Shakury 于周五证实了这一妥协,此前有谣言和一条讨论该事件的帖子(后来被攻击者删除)。
完成后,威胁行为者使用窃取的凭据强制推送除其中一个 trivy-action 标签和七个 setup-trivy 标签之外的所有标签,以使用恶意依赖项。
强制推送是一个 git 命令,它会覆盖默认的安全机制,以防止覆盖现有提交。
Trivy 是一款漏洞扫描器,开发人员可以使用它来检测开发和部署软件更新的管道中的漏洞和无意中硬编码的身份验证机密。
该扫描仪在 GitHub 上有 33,200 颗星,这一高评级表明它得到了广泛的使用。
来源:Ars Technica Tech
