Aqua Security旗下的Trivy又炸了。这已经是短短一个月内第二次供应链被攻破,直接把开发者CI/CD管道当提款机用。
这次重灾区落在GitHub Actions仓库:aquasecurity/trivy-action和aquasecurity/setup-trivy。前者是跑Trivy扫描Docker镜像的标准动作,后者负责在workflow里指定Trivy版本。安全研究员Philipp Burckhardt直接点名,攻击者force-push了trivy-action里76个tag中的75个,把它们全部指向含Python infostealer的恶意commit。setup-trivy也被动了7个tag。手法干净利落,没发新release,没推分支,就靠有权限的凭证直接改历史标签。
Payload在GitHub runner里一执行,就开始扫环境变量、文件系统里的敏感东西。SSH私钥、AWS/GCP/Azure凭证、数据库连接串、Kubernetes token、甚至加密钱包种子,全都不放过。数据加密后优先POST到scan.aquasecurtiy[.]org这个域名。如果外传失败,它还会利用runner环境里的INPUT_GITHUB_PAT,把偷来的东西塞进一个叫tpcp-docs的公开仓库,当备用通道。
域名里故意夹了个拼写错误aquasecurtiy,摆明是钓鱼模仿官方aqua-security。IP锁定在45.148.10.212,建议防火墙直接封死。
Aqua官方承认,根源还是上个月hackerbot-claw那次没彻底堵住。2月底到3月初,pull_request_target workflow被利用,偷到PAT后接管仓库,删了几个正式release,还顺手往Open VSX推了两个带毒的VS Code插件。研究员Paul McCarty最先发现0.69.4这个rogue版本。Wiz拆解后确认,它一边跑正版Trivy,一边偷偷开systemd服务,跑sysmon.py脚本持续拉payload执行。Aqua说当时轮换了token,但操作没做到原子性,刷新后的凭证可能还是被攻击者拿到。这次直接用旧凭证权限改tag,等于补刀。
Itay Shakury直言,现在把所有自动化action和token全部锁死,采取最严格策略。官方已删除恶意release,推荐用户立刻切回安全版本:trivy 0.69.3、trivy-action 0.35.0、setup-trivy 0.2.6。跑过可疑版本的,视所有pipeline secret已泄露,全部轮换,越快越好。
Socket把矛头指向TeamPCP这个团伙。payload源码里自报家门“TeamPCP Cloud stealer”,目标组合跟他们一贯的云原生偷盗+勒索套路高度重合。特别针对Solana验证者密钥对和加密钱包下手,符合这帮人强烈的金融动机。当然,也不能完全排除栽赃可能,但技术特征重叠度太高,真实归因概率不小。TeamPCP又叫DeadCatx3、PCPcat、PersyPCP、ShellForce、CipherForce,专攻现代云基建,生态里不少项目吃过亏。
Wiz研究员Rami McCarthy直接甩建议:以后别信tag,全部pin到完整的commit SHA。标签可以被随意挪动,这次事件就是活生生的教材。
加密市场这边风平浪静,BTC现报$69,711(24h +0.06%),SOL现报$88.37(24h +0.61%),开发者工具链被攻破对链上情绪暂时没掀起太大波澜。但想想看,多少DeFi项目、NFT平台、钱包团队的CI/CD里都嵌着Trivy扫描,漏一个就是全网跟进的风险。供应链攻击从来不挑币价高低,它挑的是你敢不敢松懈。
查一下自己最近的workflow日志吧。看到tpcp-docs这个仓库冒出来,赶紧当最高等级告警处理。安全从来不是加分项,是保命底线。