深度分析 供應鏈攻擊利用 Trivy 標籤強制覆寫:CI/CD 憑證竊取與防護要點 Aqua Security 的 Trivy 漏洞掃描器遭到大規模供應鏈入侵,攻擊者利用先前取得的憑證對 trivy-action 與 setup-trivy 的多個標籤執行強制推送,將原本指向合法提交的標籤改為惡意提交,導致引用這些標籤的 CI/CD 管線在執行掃描時會下載並執行惡意程式。
