Aqua Security旗下的Trivy,号称开发者最爱用的漏洞扫描神器,现在彻底翻车了。3月23日爆出的最新进展显示,黑客把恶意镜像直接推上了Docker Hub,版本0.69.4、0.69.5、0.69.6全中招,最后两个甚至在3月22日当天无预告推送,没有任何对应的GitHub release做背书。
Socket Security研究员Philipp Burckhardt直接点名,这几个镜像里塞的正是TeamPCP团伙惯用的infostealer。跟之前Trivy GitHub Actions被攻破时偷到的凭证一脉相承。干净版本停留在0.69.3,后面三个已经被Docker Hub紧急下架,可下载的人早跑完了。
事情远没这么简单。黑客拿偷来的凭证继续扩大战果,先是污染了npm上的几十个包,释放出自传播蠕虫CanisterWorm。接着又杀回Aqua Security自家GitHub,把aquasec-com组织下全部44个内部仓库改名成“tpcp-docs-”开头,描述统一写“TeamPCP Owns Aqua Security”,全公开。整个操作在UTC 3月22日20:31:07到20:32:26之间,两分钟内脚本批量完成,干净利落。
OpenSourceMalware团队和Paul McCarty都把矛头指向一个服务账号“Argon-DevOps-Mgt”。这个账号2023年7月创建,ID 139343333,关键在于它同时桥接了两个组织。单凭一个被盗的token,黑客就能拿到写甚至admin权限。长期PAT不轮换,典型的安全坏习惯,现在成了致命伤。
TeamPCP这伙人早不是省油的灯。从云环境渗透,到系统性扫荡Docker API(2375端口)、Kubernetes集群、Ray仪表盘、Redis实例,偷凭证、勒索、上矿机,一条龙服务。现在更狠,新payload直接针对伊朗的Kubernetes集群下手。脚本先用ICP canister做标识,然后分情况执行:伊朗节点部署特权DaemonSet,用名叫“kamikaze”的容器强制擦除重启;非伊朗节点植入CanisterWorm后门做systemd服务;非K8s的伊朗主机直接rm -rf / --no-preserve-root。
Aikido研究员Charlie Eriksen把执行路径拆得很清楚。黑客已经不满足偷数据,开始主动销毁目标基础设施。擦除器通过SSH用偷来的密钥传播,再扫本地子网暴露的Docker API,链路闭环且高效。
当前加密市场整体偏弱,BTC现报$68,338(24h -0.72%),ETH现报$2,042(24h -2.10%),主流币种普跌1-3%。可这波攻击跟币价波动没直接关系,却实实在在敲响警钟:安全厂商自己被攻破,用的还是云原生方式,讽刺拉满。
开发者和企业现在最该干的事很简单。立刻检查CI/CD流水线里有没有拉过0.69.4之后的Trivy镜像,所有近期跑过的构建、扫描任务都当有毒处理。换干净版本只是第一步,更要审计所有接入Trivy的凭证、token有没有被长期滥用。Aqua Security内部账号桥接设计本身就埋雷,现在炸了。
TeamPCP的打法越来越成体系,从供应链下毒到蠕虫扩散,再到定向擦除,明显在练大规模破坏能力。安全行业天天教别人修补漏洞,结果自家工具链先被端了。这事儿提醒所有人,开源供应链从来不是铁板一块,信任从来都是最脆弱的那环。谁还觉得“只是个扫描器”就没事,赶紧醒醒。