深度分析
Trivy 遭供應鏈攻擊:Git 標籤被強制推送植入惡意程式
Trivy掃描器在本月初遭供應鏈攻擊,攻擊者竊取憑證強制推送75個trivy-action與7個setup‑trivy標籤,植入竊密惡意程式,會加密並上傳GitHub令牌、雲端憑證與SSH金鑰,僅0.35.0版未受影響。此事件突顯供應鏈安全的結構性風險。
深度分析
Trivy掃描器在本月初遭供應鏈攻擊,攻擊者竊取憑證強制推送75個trivy-action與7個setup‑trivy標籤,植入竊密惡意程式,會加密並上傳GitHub令牌、雲端憑證與SSH金鑰,僅0.35.0版未受影響。此事件突顯供應鏈安全的結構性風險。
深度分析
Trivy是AquaSecurity推出的廣受歡迎的漏洞掃描工具,近期遭供應鏈入侵。攻擊者利用盜取的憑證強制推送75個trivy-action標籤,植入惡意二進位,竊取GitHubToken、雲端憑證與SSH金鑰等機密,並加密回傳至伺服器。此事件可能使開發者的流水線面臨大規模資訊外洩風險。