قام المتسللون باختراق جميع إصدارات ماسح الثغرات الأمنية Trivy المستخدم على نطاق واسع من Aqua Security في هجوم مستمر على سلسلة التوريد يمكن أن يكون له عواقب واسعة النطاق على المطورين والمؤسسات التي تستخدمها.
أكد إيتاي شاكوري، مشرف Trivy، التوصل إلى حل وسط يوم الجمعة، بعد شائعات وموضوع تم حذفه من قبل المهاجمين، يناقش الحادث. وبدأ الهجوم في الساعات الأولى من يوم الخميس. وعندما تم ذلك، استخدم جهة التهديد بيانات الاعتماد المسروقة لفرض دفع جميع علامات الإجراء التافهة وسبع علامات تافهة للإعداد باستثناء واحدة لاستخدام التبعيات الضارة.
افترض أن خطوط الأنابيب الخاصة بك معرضة للخطر
الدفع القسري هو أمر git يتجاوز آلية الأمان الافتراضية التي تحمي من الكتابة فوق الالتزامات الحالية. Trivy عبارة عن أداة فحص للثغرات الأمنية يستخدمها المطورون لاكتشاف نقاط الضعف وأسرار المصادقة المشفرة عن غير قصد في مسارات تطوير تحديثات البرامج ونشرها. يحتوي الماسح الضوئي على 33200 نجمة على GitHub، وهو تصنيف مرتفع يشير إلى استخدامه على نطاق واسع.
كتب شاكوري: “إذا كنت تشك في أنك تقوم بتشغيل إصدار مخترق، فتعامل مع جميع أسرار خطوط الأنابيب على أنها مخترقة وقم بالتناوب على الفور”.
قالت شركتا الأمن “Socket and Wiz” إن البرمجيات الخبيثة، التي تم تشغيلها في 75 علامة تافهة مخترقة، تتسبب في قيام برامج ضارة مخصصة بالبحث الدقيق في خطوط أنابيب التطوير، بما في ذلك أجهزة المطورين، بحثًا عن رموز GitHub، وبيانات الاعتماد السحابية، ومفاتيح SSH، ورموز Kubernetes، وأي أسرار أخرى قد تكون موجودة هناك. بمجرد العثور عليها، تقوم البرامج الضارة بتشفير البيانات وإرسالها إلى خادم يتحكم فيه المهاجم.
والنتيجة النهائية، كما قال سوكيت، هي أن أي خط أنابيب CI/CD يستخدم برنامجًا يشير إلى علامات الإصدار المخترقة ينفذ التعليمات البرمجية بمجرد تشغيل فحص Trivy. تتضمن علامات الإصدار المخادع العلامات المستخدمة على نطاق واسع @0.34.2 و@0.33 و@0.18.0. يبدو أن الإصدار @0.35.0 هو الإصدار الوحيد الذي لم يتأثر.
