深度分析 Trivy 供應鏈被濫用:Checkmarx 與 Bitwarden 遭惡意發佈與憑證濫用分析 近期一次供應鏈事件顯示攻擊者利用受信任的檢測工具作為載體,先入侵Trivy並透過被盜帳號向Checkmarx與Bitwarden等受害者散布惡意程式,惡意程式會在環境中搜尋儲存庫token、SSH金鑰與其他憑證,結果導致安全廠商本身成為放大器,並可能引發更多下游入侵與資料外洩風險。
