Trivy 供应链攻击通过 GitHub 漏洞影响 3 款开发工具

归属于威胁行为者“TeamPCP”的一场重大供应链攻击，自 2026 年 3 月 19 日起入侵了 Aqua Security 的 Trivy 漏洞扫描器以及至少两个其他框架。攻击者通过滥用 GitHub 存储库标签功能来劫持 CI/CD 管道，注入了窃取凭据的恶意软件。此次行动将受信任的安全工具转变为大规模凭据窃取的矢量，目标涵盖所有三大云供应商的机密信息。

微软 Defender for Cloud 团队在安全博客中表示：“此活动随后扩展到了其他框架，包括 Checkmarx KICS 和 LiteLLM。”并指出每一波攻击的核心链条都非常相似。“每一波攻击都使用了针对被入侵项目主题的新 C2 域名。”

攻击者在 aquasecurity/trivy-action GitHub 存储库中强制推送了 77 个版本标签中的 76 个，并在 aquasecurity/setup-trivy 中推送了全部 7 个标签，将它们重定向到恶意代码。版本号为 0.69.4 的恶意 Trivy 二进制文件也被发布到了官方渠道。该恶意软件将 AWS、GCP 和 Azure 的云凭据以及 Kubernetes 机密外泄到模仿官方域名的 scan.aquasecurtiy[.]org。

此次攻击将受信任的安全和开发工具转变为内部威胁，给任何使用包含受损版本自动化 CI/CD 管道的组织带来了重大风险。针对广泛凭据收集的侧重点表明，该行为者的目标是获得对云基础设施的广泛访问权限以进行后续攻击，总受影响范围仍在调查中。

可变标签如何成为武器

此次攻击利用了 Git 的一个核心设计特性：可变标签。默认情况下，标签（指向特定软件版本的标签）可以由任何拥有存储库推送权限的人重新分配。威胁行为者利用窃取的凭据重新标记了 trivy-action 的 76 个现有版本和 setup-trivy 的所有版本，使其指向包含恶意负载的新提交。

通过版本标签引用这些操作的下游 CI/CD 工作流在下次运行时会自动拉取攻击者的代码，而 GitHub 的用户界面中没有任何可见的变化来提醒开发人员。该行为者还伪造了提交身份，使恶意提交看起来是合法的，这种策略此前在其他供应链攻击中也曾出现。这种方法绕过了典型的版本检查，使恶意软件能够静默传播。

多阶段凭据盗窃

一旦在 CI/CD 运行器中执行，恶意软件便开始进行广谱凭据收集操作。在对主机进行指纹识别后，一个基于 Python 的窃取程序会搜索亚马逊云科技 (AWS)、谷歌云平台 (GCP) 和微软 Azure 的凭据，同时查询环境变量和实例元数据服务。

该恶意软件并未止步于云密钥。它还枚举并外泄了 Kubernetes 机密，在文件系统中搜索配置文件中的 API 密钥，并搜集了 Slack 和 Discord 的 webhook URL。被盗数据被加密成 tpcp.tar.gz 存档，并通过 HTTP POST 发送到攻击者控制的服务器。为了掩盖入侵行为，恶意软件随后会执行合法的 Trivy 扫描器，使管道能够以预期输出成功完成。

缓解措施及受影响版本

敦促各组织立即审计其 CI/CD 管道，并确保运行受影响工具的已验证安全版本。将操作固定到不可变的提交 SHA 而不是可变的版本标签是最关键的预防措施。

微软提供了以下受影响产品及应使用的最低安全版本列表：

安全团队还可以寻找入侵指标。Microsoft Defender 客户可以使用高级狩猎查询来发现恶意命令、指向攻击者域名的可疑 DNS 查询以及 Kubernetes 机密的枚举。例如，以下查询可以帮助识别与 TeamPCP 攻击相关的命令行：

CloudProcessEvents | where ProcessCommandLine has_any ('scan.aquasecurtiy.org','checkmarx.zone','tpcp.tar.gz')

此次事件是对软件供应链脆弱性的重要提醒。对于投资者而言，这突显了过度依赖开源软件而缺乏严格验证流程的公司所面临的运营和财务风险。被发现使用受损工具的公司可能面临巨大的修复成本、潜在的数据泄露责任以及客户信任度的丧失，从而影响其股票表现。相反，这一事件可能成为帕罗奥图网络 (PANW) 或 CrowdStrike (CRWD) 等专门从事供应链安全和云工作负载保护的网络安全公司的利好因素。

本文仅供参考，不构成投资建议。