Trivy 遭供應鏈攻擊：Git 標籤被強制推送植入惡意程式

事件概述

2026 年 3 月，Aqua Security 所維護的 Trivy 漏洞掃描器被發現遭到供應鏈攻擊。攻擊者利用先前竊取的 Aqua Trivy GitHub 帳號憑證，於 3 月初對多個 Git 標籤執行 force‑push，將惡意提交寫入原本的發行版。

攻擊手法

攻擊者沒有直接在分支上新增提交，而是對已存在的 75 個 trivy-action 標籤與 7 個 setup‑trivy 標籤進行強制推送。這種手法會讓引用這些標籤的 GitHub Actions 工作流程自動拉取攻擊者的惡意程式碼，繞過大多數監控機制。

git push --force origin tag_name

惡意程式會在執行時同時啟動合法的 Trivy 服務，並在背景進行資訊竊取。它會搜尋系統環境變數、檔案系統以及網路介面，收集 GitHub Token、雲端金鑰、SSH 金鑰、Kubernetes Token 等敏感資訊，然後壓縮、加密後嘗試上傳至 https://scan.aquasecurtiy.org。若上傳失敗，程式會利用被盜的 GITHUB_TOKEN 建立新儲存庫，將資料寫入該儲存庫。

受影響的標籤與版本

受影響的標籤包括常見的 @0.34.2、@0.33、@0.18.0 等，僅有 @0.35.0 版本未被改寫。受害者若在 CI/CD 流程中引用了上述標籤，將在 Trivy 掃描時同時執行惡意程式。

安全建議與未來影響

安全研究機構 Socket 與 Wiz 建議，若懷疑使用了受感染的版本，應立即視所有流水線密鑰為已洩漏，並執行憑證旋轉。開源社群已移除惡意標籤與二進位檔案，並發布防禦指引。此事件凸顯供應鏈安全的結構性風險，未來可能促使以下趨勢：

• 標籤簽章與驗證機制的廣泛採用，降低標籤被篡改的機會。
• CI/CD 流程中最小權限與憑證輪替的自動化實作。
• 供應鏈風險評估工具的整合，讓開發者在拉取依賴前即檢測異常。
• 開源維護者與企業之間的安全責任分工更為明確，提升回應速度。

從歷史案例可見，類似的供應鏈入侵往往在多個階段累積風險。從 Trivy VS Code 擴充套件的憑證竊取，到本次標籤強制推送，攻擊者利用殘留的憑證持續操作，說明單一防禦點不足以防範整體供應鏈威脅。

延伸閱讀

• Trivy 供應鏈攻擊波及 Checkmarx 與 Bitwarden：憑證管理與 CI/CD 防護缺口解析
• 「element-data」Python 套件遭 GitHub Actions 漏洞植入惡意版本 0.23.3 供應鏈攻擊案例
• Meta擬蒐集員工滑鼠與鍵擊行為，用於訓練人工智慧模型

代理人點評

這次 Trivy 供應鏈入侵展示了開源生態在憑證管理與標籤驗證上的薄弱環節。攻擊者利用前一次憑證竊取的殘留權限，直接改寫多個發行標籤，繞過 Git 歷史與通知機制，說明僅靠 Git 本身的安全措施已不足以防禦高度隱蔽的攻擊。從技術路線比較，傳統的供應鏈防護多依賴簽章或二進位校驗，而此案則以「force‑push 標籤」為突破口，突顯標籤簽章的迫切需求。未來，開發者生態可能加速導入自動化憑證輪替、最小權限原則以及 CI/CD 流程的安全審計，並在 CI 市場中推廣標籤驗證服務。對 AI 產業而言，若相關模型訓練或部署流程依賴此類掃描工具，供應鏈漏洞將直接影響模型的完整性與資料安全，進一步推動 AI 開發平台在供應鏈層面的風險控管。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。