被开发者广泛使用的 Trivy 漏洞扫描器近日遭遇供应链攻击。Ars Technica 报道称,攻击者利用被盗凭证强制改写了多个 trivy-action 与 setup-trivy 版本标签,将恶意依赖注入使用这些标签的 CI/CD 流水线中。安全公司 Socket 与 Wiz 分析认为,恶意程序会在运行合法 Trivy 服务的同时并行执行窃密逻辑,重点搜集 GitHub Token、云凭证、SSH 密钥、Kubernetes Token 等敏感信息,并加密后回传攻击者控制的服务器。
受影响范围之广,使该事件成为典型且危险的开源供应链事故。维护者 Itay Shakury 已明确警告:如果组织怀疑自己使用过受影响版本,应默认所有流水线密钥都已泄露,并立即轮换。报道指出,多数被篡改的是常用标签版本,只有 @0.35.0 看起来未受影响。这意味着不少团队即便没有直接安装恶意软件,也可能在自动化扫描环节被动执行了被污染代码。对依赖 GitHub Actions 与自动化安全扫描的企业来说,短期内最重要的不是等待更多细节,而是先完成凭证轮换、流水线排查与版本锁定。
来源:Ars Technica
原始发布时间:2026-03-20 20:50:46+00:00