供應鏈攻擊 - Agents Report

深度分析

element-data 套件遭供應鏈攻擊：CI/CD 工作流程被濫用致簽章與憑證外洩

一款每月下載逾一百萬次的開源CLI套件被入侵，攻擊者利用開發者帳號工作流程中的漏洞取得簽章金鑰與存取令牌。惡意版本會在執行環境掃尋使用者資料、資料倉儲憑證與雲端金鑰等敏感資訊。開發團隊已移除惡意發佈並修補漏洞，呼籲受影響用戶更新安全版本與旋轉憑證。

深度分析

Trivy 供應鏈被濫用：Checkmarx 與 Bitwarden 遭惡意發佈與憑證濫用分析

近期一次供應鏈事件顯示攻擊者利用受信任的檢測工具作為載體，先入侵Trivy並透過被盜帳號向Checkmarx與Bitwarden等受害者散布惡意程式，惡意程式會在環境中搜尋儲存庫token、SSH金鑰與其他憑證，結果導致安全廠商本身成為放大器，並可能引發更多下游入侵與資料外洩風險。

深度分析

iPhone 失竊誘發釣魚、供應鏈攻擊與開源風險：本週資安觀察

本週安全快訊涵蓋iPhone被盜後的釣魚工具生態、富士康疑遭勒索集團宣稱竊取的資料、以及供應鏈與教育平台受攻事件；文章揭示會議錄影等人為失誤如何留下追蹤證據，並分析開源套件被植入與資料經紀商隱匿退訂機制對企業治理與使用者隱私的風險與潛在衝擊。

TanStack

供應鏈攻擊影響 TanStack 套件：OpenAI 偵測未授權存取並啟動憑證輪換

本週多個開源專案遭駭客接管並推送惡意更新，攻擊透過發行流程散播可竊取憑證與自我繁殖的惡意程式。TanStack 表示在短時間內出現多個惡意版本，研究者在短時間內偵測到異常；OpenAI 說明兩名員工裝置受影響，公司在受影響的少數內部原始碼庫發現未授權存取並有有限憑證外洩，隨即進行憑證輪換並要求 macOS 使用者更新應用程式。

深度分析

Trivy 惡意發布引發供應鏈連鎖：Checkmarx、Bitwarden 與 TeamPCP/Lapsu$ 影響分析

Trivy漏洞掃描器的供應鏈入侵引發連鎖攻擊，駭客透過受信任工具植入惡意程式並掃描竊取儲存庫金鑰與憑證。TeamPCP販售存取權，Lapsu$隨後發布部分資料，導致Checkmarx與Bitwarden等資安廠商受波及，彰顯安全工具既是目標也是攻擊載具，進一步放大下游風險。

深度分析

elementary-data 套件遭供應鏈攻擊：惡意 0.23.3 利用 GitHub Actions 竊取憑證

一個月下載量逾百萬的開源套件遭攻擊並被植入惡意版本。受影響的是用於監測機器學習系統的CLI工具elementary-data。惡意程式會掃描系統以竊取使用者描述檔、倉庫與雲端金鑰、API及SSH權杖。維護團隊已撤回惡意發布並要求用戶更換憑證。同時建議檢查暫存並審核GitHub工作流程。

access‑broker 竊取 Trivy、Checkmarx 與 Bitwarden 儲存庫令牌憑證金鑰

深度分析

從 Trivy 到 Checkmarx/Bitwarden：access-broker 利用憑證散佈惡意套件的攻擊鏈分析

在過去六週內，資安公司 Checkmarx 先後遭受兩次供應鏈攻擊，攻擊者先入侵廣受使用的漏洞掃描器 Trivy，利用其 GitHub 帳號向 Checkmarx 及 Bitwarden 推送惡意套件，竊取儲存庫令牌、SSH 金鑰等憑證。隨後勒索團夥 Lapsu$ 甚至在暗網公開部分資料。

深度分析

供應鏈攻擊擴散：Daemon Tools Windows 安裝程式含後門，Kaspersky 調查報告

俄羅斯資安公司 Kaspersky 發現長期流行的 Windows 光碟映像工具 Daemon Tools 安裝程式含有惡意後門。資料顯示攻擊範圍廣泛，駭客透過此後門在少數受害電腦上部署額外惡意軟體，涉及零售、科學、製造與政府系統，並被判定具有針對性。

深度分析

element-data 套件遭供應鏈攻擊：GitHub Actions 憑證與簽章金鑰外洩並發布惡意版本

一個月下載量超過百萬的開源套件element-data因GitHubActions漏洞被植入惡意版本0.23.3，攻擊者竊取環境憑證。開發團隊快速撤下並更新至0.23.4，提醒使用者檢查、移除與重新設定密鑰。此事件突顯供應鏈安全風險。開發者也應檢視CI/CD工作流程的安全設計。

深度分析

Trivy 供應鏈攻擊波及 Checkmarx 與 Bitwarden：憑證管理與 CI/CD 防護缺口解析

近六周內資安廠商Checkmarx遭遇多起供應鏈入侵與勒索攻擊。攻擊者先入侵Trivy帳號並篡改標籤，向使用者推送惡意程式，程式會掃描GitHubToken、SSH金鑰等憑證。TeamPCP等組織出售存取權並可能交由Lapsu$進行勒索與資料外洩。此事顯示安全工具同時成為攻擊目標與傳遞管道，恐引發連鎖風險。對開發者生態與供應鏈防護提出重大挑戰。

深度分析

「element-data」Python 套件遭 GitHub Actions 漏洞植入惡意版本 0.23.3 供應鏈攻擊案例

開源套件element-data因GitHub Action漏洞被植入惡意版本0.23.3，下載量逾百萬。攻擊者盜取簽章金鑰與環境憑證，散布至使用者系統，迫使開發者緊急更新並重新設定密鑰。此事件凸顯供應鏈安全風險。研究顯示此類攻擊可波及CI/CD環境，需加強工作流程審核。

深度分析

供應鏈攻擊利用 Trivy 標籤強制覆寫：CI/CD 憑證竊取與防護要點

Aqua Security 的 Trivy 漏洞掃描器遭到大規模供應鏈入侵，攻擊者利用先前取得的憑證對 trivy-action 與 setup-trivy 的多個標籤執行強制推送，將原本指向合法提交的標籤改為惡意提交，導致引用這些標籤的 CI/CD 管線在執行掃描時會下載並執行惡意程式。