【安全资讯】Trivy漏洞扫描器遭供应链攻击，TeamPCP团伙通过GitHub Actions分发信息窃取程序

概要：

在日益严峻的软件供应链安全威胁下，广受欢迎的漏洞扫描工具Trivy近期成为攻击目标。威胁团伙TeamPCP通过入侵其官方构建流程，向用户推送了植入信息窃取恶意软件的版本，对依赖该工具进行安全评估的开发者和企业构成了严重风险。

主要内容：

此次攻击始于威胁团伙TeamPCP利用从Aqua Security（Trivy的维护公司）早期数据泄露事件中窃取的凭证，获得了对Trivy GitHub仓库的写入权限。攻击者篡改了GitHub Actions的构建脚本，并将恶意代码植入到Trivy v0.69.4版本的官方发布中。

攻击的核心技术在于，攻击者强制推送了aquasecurity/trivy-action仓库中76个版本标签中的75个，将其指向恶意提交。这使得任何使用受影响标签的外部工作流，都会在运行合法的Trivy扫描前自动执行恶意代码，极具隐蔽性。

恶意软件是一个功能强大的信息窃取程序，它会系统性地扫描受害系统，收集包括SSH密钥、云服务凭证（AWS、GCP、Azure）、Kubernetes配置、数据库密码、加密货币钱包乃至GitHub Actions Runner进程内存中的认证密钥等大量敏感数据。收集的数据被加密后，外传到仿冒域名scan.aquasecurtiy[.]org。

Aqua Security确认此次攻击是3月初凭证泄露事件的后续，由于凭证轮换不彻底，攻击者得以持续访问。恶意版本在线约3小时，受感染的GitHub Actions标签活跃了长达12小时。受影响的组织需将所有相关密钥和凭证视为已泄露，并立即进行全面排查和轮换。