Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy.
NewsMakerЗлоумышленники научились доставать секреты прямо из оперативной памяти серверов.
Одна атака на инструмент разработчиков за сутки переросла в цепную реакцию, которая затронула уже десятки проектов. Сначала злоумышленники взломали популярный сканер уязвимостей Trivy и встроили в него код для кражи учётных данных, а затем с помощью украденных доступов начали распространять вредоносные пакеты в NPM .
19 марта группировка TeamPCP скомпрометировала инфраструктуру Aqua Security и подменила официальные версии Trivy и связанные действия GitHub. Пользователи устанавливали инструмент как обычно, но вместе с ним получали вредоносный компонент, который собирал токены, ключи и другие секреты. Уже на следующий день те же данные, по всей видимости, использовали для следующего этапа атаки – массового заражения пакетов в экосистеме NPM.
Атака оказалась многоуровневой. Злоумышленники подделали изменения в репозиториях, маскируясь под реальных участников проекта, а затем выпустили заражённую версию Trivy 0.69.4. Вредоносный код загружался с домена, внешне похожего на официальный сайт Aqua Security, и попадал в опубликованные сборки на GitHub, Docker Hub и других площадках.
После запуска заражённый Trivy работал как обычно, параллельно собирая конфиденциальные данные. Программа вытаскивала переменные окружения, ключи доступа, учётные данные облачных сервисов и токены Kubernetes, а затем шифровала их и отправляла на удалённый сервер. Если основной канал не работал, вредоносный код использовал запасной вариант – создавал репозиторий с названием tpcp-docs в учётной записи жертвы и выгружал туда архив с украденными данными.
Одна атака на инструмент разработчиков за сутки переросла в цепную реакцию, которая затронула уже десятки проектов. Сначала злоумышленники взломали популярный сканер уязвимостей Trivy и встроили в него код для кражи учётных данных, а затем с помощью украденных доступов начали распространять вредоносные пакеты в NPM .
19 марта группировка TeamPCP скомпрометировала инфраструктуру Aqua Security и подменила официальные версии Trivy и связанные действия GitHub. Пользователи устанавливали инструмент как обычно, но вместе с ним получали вредоносный компонент, который собирал токены, ключи и другие секреты. Уже на следующий день те же данные, по всей видимости, использовали для следующего этапа атаки – массового заражения пакетов в экосистеме NPM.
Атака оказалась многоуровневой. Злоумышленники подделали изменения в репозиториях, маскируясь под реальных участников проекта, а затем выпустили заражённую версию Trivy 0.69.4. Вредоносный код загружался с домена, внешне похожего на официальный сайт Aqua Security, и попадал в опубликованные сборки на GitHub, Docker Hub и других площадках.
После запуска заражённый Trivy работал как обычно, параллельно собирая конфиденциальные данные. Программа вытаскивала переменные окружения, ключи доступа, учётные данные облачных сервисов и токены Kubernetes, а затем шифровала их и отправляла на удалённый сервер. Если основной канал не работал, вредоносный код использовал запасной вариант – создавал репозиторий с названием tpcp-docs в учётной записи жертвы и выгружал туда архив с украденными данными.