Trivy 供應鏈攻擊透過 GitHub 漏洞影響 3 款開發工具

歸屬於威脅行為者「TeamPCP」的一場重大供應鏈攻擊，自 2026 年 3 月 19 日起入侵了 Aqua Security 的 Trivy 漏洞掃描器以及至少兩個其他框架。攻擊者透過濫用 GitHub 儲存庫標籤功能來劫持 CI/CD 管道，注入了竊取憑證的惡意軟體。此次行動將受信任的安全工具轉變為大規模憑證竊取的向量，目標涵蓋所有三大雲端供應商的機密資訊。

微軟 Defender for Cloud 團隊在安全部落格中表示：「此活動隨後擴展到了其他框架，包括 Checkmarx KICS 和 LiteLLM。」並指出每一波攻擊的核心鏈條都非常相似。「每一波攻擊都使用了針對被入侵項目主題的新 C2 網域名稱。」

攻擊者在 aquasecurity/trivy-action GitHub 儲存庫中強制推送了 77 個版本標籤中的 76 個，並在 aquasecurity/setup-trivy 中推送了全部 7 個標籤，將它們重新導向到惡意程式碼。版本號為 0.69.4 的惡意 Trivy 二進位檔案也被發佈到了官方管道。該惡意軟體將 AWS、GCP 和 Azure 的雲端憑證以及 Kubernetes 機密外洩到模仿官方網域的 scan.aquasecurtiy[.]org。

此次攻擊將受信任的安全和開發工具轉變為內部威脅，給任何使用包含受損版本自動化 CI/CD 管道的組織帶來了重大風險。針對廣泛憑證收集的側重點表明，該行為者的目標是獲得對雲端基礎設施的廣泛存取權限以進行後續攻擊，總受影響範圍仍在調查中。

可變標籤如何成為武器

此次攻擊利用了 Git 的一個核心設計特性：可變標籤。預設情況下，標籤（指向特定軟體版本的標籤）可以由任何擁有儲存庫推送權限的人重新分配。威脅行為者利用竊取的憑證重新標記了 trivy-action 的 76 個現有版本和 setup-trivy 的所有版本，使其指向包含惡意負載的新提交。

透過版本標籤引用這些操作的下游 CI/CD 工作流在下次執行時會自動拉取攻擊者的程式碼，而 GitHub 的使用者介面中沒有任何可見的變化來提醒開發人員。該行為者還偽造了提交身份，使惡意提交看起來是合法的，這種策略此前在其他供應鏈攻擊中也曾出現。這種方法繞過了典型的版本檢查，使惡意軟體能夠靜默傳播。

多階段憑證盜竊

一旦在 CI/CD 執行器中執行，惡意軟體便開始進行廣譜憑證收集操作。在對主機進行指紋識別後，一個基於 Python 的竊取程式會搜尋亞馬遜網路服務 (AWS)、Google 雲端平台 (GCP) 和微軟 Azure 的憑證，同時查詢環境變數和執行個體中介資料服務。

該惡意軟體並未止步於雲端金鑰。它還列舉並外洩了 Kubernetes 機密，在檔案系統中搜尋設定檔中的 API 金鑰，並搜集了 Slack 和 Discord 的 webhook URL。被盜數據被加密成 tpcp.tar.gz 封存檔，並透過 HTTP POST 發送到攻擊者控制的伺服器。為了掩飾入侵行為，惡意軟體隨後會執行合法的 Trivy 掃描器，使管道能夠以預期輸出成功完成。

緩解措施及受影響版本

敦促各組織立即審計其 CI/CD 管道，並確保執行受影響工具的已驗證安全版本。將操作固定到不可變的提交 SHA 而不是可變的版本標籤是最關鍵的預防措施。

微軟提供了以下受影響產品及應使用的最低安全版本列表：

安全團隊還可以尋找入侵指標。Microsoft Defender 客戶可以使用高級狩獵查詢來發現惡意命令、指向攻擊者網域的可疑 DNS 查詢以及 Kubernetes 機密的列舉。例如，以下查詢可以幫助識別與 TeamPCP 攻擊相關的命令列：

CloudProcessEvents | where ProcessCommandLine has_any ('scan.aquasecurtiy.org','checkmarx.zone','tpcp.tar.gz')

此次事件是對軟體供應鏈脆弱性的重要提醒。對於投資者而言，這突顯了過度依賴開源軟體而缺乏嚴格驗證流程的公司所面臨的營運和財務風險。被發現使用受損工具的公司可能面臨巨大的修復成本、潛在的數據洩露責任以及客戶信任度的喪失，從而影響其股票表現。相反，這一事件可能成為 Palo Alto Networks (PANW) 或 CrowdStrike (CRWD) 等專門從事供應鏈安全和雲端工作負載保護的網路安全公司的利多因素。

本文僅供參考，不構成投資建議。