Trivy 漏洞扫描器遭供应链攻击 恶意软件通过 GitHub Actions 传播

安全研究人员 Paul McCarty 近日披露，Trivy 漏洞扫描器在供应链中遭遇严重攻击。威胁组织 TeamPCP 通过官方发布渠道和 GitHub Actions 分发凭证窃取恶意软件。Trivy 作为广泛使用的安全工具，帮助识别容器和云基础设施中的漏洞，因此成为高价值目标。攻击者意图窃取敏感认证信息以扩大破坏范围并深入内部网络。此次事件发生在 2026 年三月后的短时间内，显示出攻击者的快速响应能力。\n\n攻击者利用三月泄露的写权限凭据，对 aquasecurity/trivy-action 仓库中的 76 个标签实施了强制推送。他们替换了 GitHub Actions 中的 entrypoint.sh 脚本，并在 Trivy v0.69.4 版本中植入特洛伊木马。此次入侵导致几乎所有版本的 trivy-action 标签均被攻陷。恶意代码在发布后迅速感染依赖该仓库的自动化流程。攻击者能够修改仓库状态是因为拥有写权限。\n\n恶意代码在受影响的版本中存活了约三小时，相关 GitHub Actions 标签则持续活跃长达 12 小时。任何使用受影响标签的外部工作流都会自动执行恶意代码，随后才运行合法的 Trivy 扫描任务。这使得攻击难以被检测到，因为扫描流程本身看似正常。攻击者利用时间窗口最大化数据窃取量。这种隐蔽性增加了威胁的破坏力。\n\n安全团队 Socket 和 Wiz 的分析显示，恶意脚本会扫描存储凭证的文件位置及内存区域。它专门寻找 GitHub Actions Runner Worker 进程中的 JSON 格式秘密字符串，并将收集的数据加密为 tpcp.tar.gz 文件。此外，恶意程序还会扫描本地文件以获取环境变量和认证令牌。该工具还能扫描 GitHub Actions Runner 的 Worker 进程内存。数据收集过程非常彻底。\n\n收集的数据被发送到拼写错误的命令与控制服务器 scan.aquasecurtiy[.]org，若失败则上传至受害者 GitHub 账户下的公开仓库。为了保持持久访问，恶意软件还会在 ~/.config/systemd/user/sysmon.py 中部署 Python 负载并注册为系统服务。该负载会定期检查远程服务器以获取新的恶意负载。这种双重传输机制确保了数据泄露的可靠性。持久化手段令人担忧。\n\nAqua Security 确认该事件与三月发生的凭证泄露事件有关，承认之前的安全遏制工作不完整。公司表示虽然旋转了密钥和令牌，但流程并非原子操作，攻击者可能获得了刷新后的令牌权限。这意味着即便修复了初始泄露，攻击者仍能维持访问权限。这种链式反应暴露了安全流程中的关键漏洞。内部流程的缺陷被利用。\n\n研究人员还将此次攻击与针对 npm 包的 CanisterWorm 蠕虫联系起来。该蠕虫利用 Internet Computer 的 canisters 作为去中心化命令与控制机制，增强了抗审查能力。Aikido 报告称，该蠕虫在不到 60 秒内传播了 28 个恶意包，利用 npm 令牌发布更新。攻击者利用网络治理提案机制来防御封禁操作。技术对抗日益激烈。\n\n此次事件揭示了供应链安全的严峻挑战，要求组织立即旋转所有云凭证和 API 令牌。未来的安全策略需更加关注 CI/CD 流水线的完整性，防止类似利用信任关系的攻击再次发生。随着恶意软件利用数学模型检测沙箱，安全团队必须升级防御手段。组织应视受影响环境为完全被攻陷并彻底清理系统。长期影响深远。