深度分析
Trivy 供應鏈攻擊分析:發佈管道被濫用,波及 Checkmarx 與 Bitwarden
近六週來,Trivy 供應鏈攻擊引發的連鎖效應暴露出供應鏈防護的盲點。攻擊者先入侵發佈管道與被盜 CI 憑證,將帶有竊密功能的惡意版本散布至開發者與企業環境,安全廠商 Checkmarx 與 Bitwarden 均受波及。
CI/CD 安全
深度分析
element-data 套件遭供應鏈攻擊:CI/CD 工作流程被濫用致簽章與憑證外洩
一款每月下載逾一百萬次的開源CLI套件被入侵,攻擊者利用開發者帳號工作流程中的漏洞取得簽章金鑰與存取令牌。惡意版本會在執行環境掃尋使用者資料、資料倉儲憑證與雲端金鑰等敏感資訊。開發團隊已移除惡意發佈並修補漏洞,呼籲受影響用戶更新安全版本與旋轉憑證。
深度分析
供應鏈攻擊利用被盜 OIDC 憑證繞過 Sigstore provenance 驗證
5月中研究揭露數個針對開發者工具和套件註冊的供應鏈攻擊。攻擊者利用被盜維護者憑證取得有效簽章,Sigstore仍驗證CI簽發與透明日誌紀錄,但無法辨識發布是否經授權。結果數百個套件出現惡意版本,促使業界重新檢視自動化信任機制與審核流程。需靠多層驗證與人工審核補強。
深度分析
elementary-data 套件遭供應鏈攻擊:惡意 0.23.3 利用 GitHub Actions 竊取憑證
一個月下載量逾百萬的開源套件遭攻擊並被植入惡意版本。受影響的是用於監測機器學習系統的CLI工具elementary-data。惡意程式會掃描系統以竊取使用者描述檔、倉庫與雲端金鑰、API及SSH權杖。維護團隊已撤回惡意發布並要求用戶更換憑證。同時建議檢查暫存並審核GitHub工作流程。
深度分析
代理式 AI 導致網路攻擊加速:風險模型、CVE-2026-31431 與防禦路線圖
本研究探討代理式 AI 如何壓縮網路攻擊流程,透過降低偵查、釣魚、漏洞利用等成本,加速從落腳點到取得根權。案例以 2026 年 Linux 核心「Copy Fail」漏洞說明攻擊鏈的加速效應,並預測 2026‑2028 年企業與德國中小企業的安全挑戰與防禦優先順序。同時提出身分驗證、修補速度與容器硬化等六項防禦建議。
深度分析
「element-data」Python 套件遭 GitHub Actions 漏洞植入惡意版本 0.23.3 供應鏈攻擊案例
開源套件element-data因GitHub Action漏洞被植入惡意版本0.23.3,下載量逾百萬。攻擊者盜取簽章金鑰與環境憑證,散布至使用者系統,迫使開發者緊急更新並重新設定密鑰。此事件凸顯供應鏈安全風險。研究顯示此類攻擊可波及CI/CD環境,需加強工作流程審核。
深度分析
供應鏈攻擊利用 Trivy 標籤強制覆寫:CI/CD 憑證竊取與防護要點
Aqua Security 的 Trivy 漏洞掃描器遭到大規模供應鏈入侵,攻擊者利用先前取得的憑證對 trivy-action 與 setup-trivy 的多個標籤執行強制推送,將原本指向合法提交的標籤改為惡意提交,導致引用這些標籤的 CI/CD 管線在執行掃描時會下載並執行惡意程式。
Trivy
Trivy 漏洞掃描器遭供應鏈攻擊:駭客利用 Git Force-push 篡改 75 個版本標籤
知名漏洞掃描器 Trivy 遭遇嚴重供應鏈攻擊,駭客利用 Git 強制推送篡改 75 個版本標籤,導致 CI/CD 流水線被植入惡意軟體,大規模竊取 GitHub Token 與雲端憑證。專家警告,若使用受影響版本,應立即將所有流水線機密視為已洩漏並重新設定。
CanisterWorm
TeamPCP 發布 CanisterWorm 蠕蟲:鎖定 npm 供應鏈與 CI/CD 管道,對伊朗發動資料抹除攻擊
駭客組織 TeamPCP 利用新型蠕蟲 CanisterWorm 攻擊開源供應鏈,透過滲透 Aqua Security 污染 Trivy 掃描器並自動感染 npm 套件。該蠕蟲更內建 Kamikaze 抹除程式,專門針對伊朗機器執行資料毀滅。此次事件揭露了 CI/CD 管道的安全漏洞以及利用智慧合約建立控制伺服器的全新攻擊手法。