这周加密圈和安全圈都炸了锅。开源漏洞扫描器Trivy直接被黑,攻击者用偷来的凭证把恶意代码塞进官方发布版里,影响范围大到吓人。Aqua Security维护的这个工具,GitHub星数超3.2万,Docker Hub下载破亿,谁敢想它会变成偷凭证的木马?
3月19日,攻击者force-push了trivy-action仓库里76个版本标签中的绝大部分,还改了setup-trivy和Trivy v0.69.4二进制。恶意payload先跑,偷偷扫CI/CD环境里的秘密:AWS、GCP、Azure token,SSH key,Kubernetes凭证,Terraform文件,甚至GitHub Actions runner内存里的token全被扒。数据先POST到打字错误的scan.aquasecurtiy[.]org(指向45.148.10.212),备用通道直接推到受害者自己的GitHub repo。扫描逻辑照常执行,开发者看日志还以为一切正常。Aqua很快删了恶意tag,回滚到v0.69.3,但受害者得自己查流水线日志,赶紧轮换所有secret。
这已经是Trivy三月内第二次被搞。月初VS Code扩展就被注入恶意代码,这次更狠,直接玩Git tag repointing。研究者把攻击者叫TeamPCP,恶意行为还扩散到npm生态,47个包被植入自传播蠕虫CanisterWorm,用Internet Computer区块链的canister做C2 dead drop。伊朗节点直接被擦除,非伊朗节点装systemd持久化后门。Kubernetes环境里还部署特权DaemonSet,杀伤力拉满。
用Trivy的DevOps团队这几天估计睡不好觉。供应链攻击现在专挑安全工具下手,讽刺到家。建议立刻审计最近一周的CI/CD跑道,强制轮换token,别等下游项目也中招。
另一条大新闻直接戳隐私神经。FBI局长Kash Patel在参议院情报委员会听证会上直认:局里又开始买商用位置数据了。以前Wray局长2023年说停了,现在Patel说这玩意儿“符合宪法和电子通信隐私法”,还帮他们拿到了“有价值的情报”。不用搜查令,直接从数据经纪商买美国人手机定位轨迹,最高精度到几米。民主党议员Ron Wyden追问细节,Patel没松口,只强调合法。最高法院2018年Carpenter案要求位置数据得有令状,但商用数据这块一直是灰色地带。现在FBI重启采购,等于公开绕过司法审查。
加密用户最怕的就是这个。钱包地址、交易习惯、上下班路线全可能被买走,钓鱼、敲诈、甚至物理威胁都行。Patel这番话一出,隐私币圈和去中心化身份项目又被点名讨论。监管和执法的边界越来越模糊。
WhatsApp也扔了个重磅。Meta计划2026年6月前全球推用户名功能,用户发消息、语音视频通话不用暴露手机号。用户名可自定义,企业和个人都能抢独占handle,现在已经在小范围测试。Signal 2024年初就干过这事,WhatsApp跟进是为了防骚扰、提升隐私。手机号关联太容易被滥用,换成用户名后陌生人加你不用知道你真实号码,安全性肉眼可见提升。
当然,这功能可选,手机号体系还在。Meta说这步是为了“让人们连接新朋友、群组和商家时不用分享号码”。对普通用户是好事,对想匿名交易的加密玩家更是多一层保护。
其他热点也够呛。DoJ一锅端了四个Mirai变种IoT僵尸网络,AISURU、Kimwolf、JackSkid、Mossad,加起来控制超300万台路由器、摄像头、DVR,卖DDoS流量给犯罪团伙。受害者有的赔几十万美元修复或交赎金。Langflow一个9.3分CVE披露20小时就被野外利用,远程代码执行偷数据。Interlock勒索团伙用Cisco FMC零日打了一个多月。iOS新exploit kit DarkSword用六个漏洞链搞定iPhone,幸好Lockdown Mode和iPhone 17的MIE能挡。
Android端冒出Perseus银行木马,伪装成IPTV app,土耳其和意大利用户中招最多,overlay假登录页+键盘记录,还专偷笔记app里的助记词、密码、金融信息。加密用户笔记里存seed phrase的习惯,得彻底改了。
这一周看下来,安全工具被黑、执法买数据、隐私工具迭代,三条线都指向同一个点:信任链太脆弱。开发者得把CI/CD当战场守,个人隐私得自己多层防。BTC现报$71,585(24h +4.11%),ETH现报$2,182(24h +4.93%),市场情绪还算稳,但底层风险在堆积。谁知道下一个供应链炸弹什么时候爆。