Trivy遭供應(yīng)鏈攻擊：76個(gè)版本標(biāo)簽被篡改

2026年2月底，一個(gè)配置失誤讓全球使用量最高的開源漏洞掃描器之一，變成了攻擊者的釣魚竿。

Aqua Security旗下的Trivy掃描器遭遇供應(yīng)鏈攻擊，攻擊者利用竊取的憑證篡改了76個(gè)版本標(biāo)簽，并向CI/CD（持續(xù)集成/持續(xù)交付）管道植入惡意代碼。這不是理論上的風(fēng)險(xiǎn)演示——惡意版本已被下載執(zhí)行，敏感憑證正在外泄。

攻擊時(shí)間線：從配置失誤到全面淪陷

攻擊起點(diǎn)是Trivy的GitHub Actions環(huán)境。2月底，攻擊者利用一處配置錯(cuò)誤，提取了一個(gè)高權(quán)限訪問令牌。

3月1日，Trivy團(tuán)隊(duì)披露事件并執(zhí)行了憑證輪換。但輪換不徹底——部分憑證仍然有效，攻擊者保留了殘余訪問權(quán)限。

18天后，攻擊升級(jí)。3月19日，攻擊者強(qiáng)制推送惡意提交到aquasecurity/trivy-action倉(cāng)庫(kù)的76個(gè)版本標(biāo)簽（共77個(gè)），以及aquasecurity/setup-trivy的全部7個(gè)標(biāo)簽。同時(shí)，一個(gè)被入侵的服務(wù)賬戶觸發(fā)了自動(dòng)發(fā)布流程，將植入后門的Trivy二進(jìn)制文件標(biāo)記為0.69.4版本發(fā)布。

攻擊者的策略很刁鉆：不是發(fā)布一個(gè)明顯可疑的新版本，而是篡改現(xiàn)有版本標(biāo)簽。這意味著正在使用這些標(biāo)簽的企業(yè)，會(huì)在毫無察覺的情況下執(zhí)行惡意代碼。

惡意載荷：藏在掃描之前的竊密程序

惡意代碼的設(shè)計(jì)堪稱"寄生式"。它在合法Trivy掃描邏輯之前執(zhí)行，讓受感染的工作流看起來完全正常——掃描完成，報(bào)告生成，一切如常。

但在這一層正常表象之下，惡意程序正在瘋狂收集CI/CD環(huán)境中的敏感信息。目標(biāo)清單包括：API令牌、AWS/GCP/Azure三大云平臺(tái)的憑證、SSH密鑰、Kubernetes令牌、Docker配置文件。

收集完成后，數(shù)據(jù)被外傳至攻擊者控制的基礎(chǔ)設(shè)施。

Aqua Security確認(rèn)，此次攻擊明確針對(duì)依賴可變版本標(biāo)簽的開源用戶，而非使用固定提交哈希（commit hash）的企業(yè)。換句話說，那些圖省事直接寫v0.69.4的團(tuán)隊(duì)，比寫a1b2c3d的團(tuán)隊(duì)風(fēng)險(xiǎn)高出數(shù)個(gè)量級(jí)。

商業(yè)產(chǎn)品與開源項(xiàng)目的"隔離墻"

一個(gè)值得注意的細(xì)節(jié)：Aqua Security的商業(yè)產(chǎn)品未受影響。

官方解釋稱，商業(yè)平臺(tái)在架構(gòu)上與被入侵的開源環(huán)境完全隔離，擁有獨(dú)立的管道、嚴(yán)格的訪問控制，以及一個(gè)刻意滯后于開源發(fā)布的集成流程。這種"慢半拍"的設(shè)計(jì)，在此次事件中成了安全緩沖帶。

3月21日至22日的周末，調(diào)查發(fā)現(xiàn)了更多可疑活動(dòng)——攻擊者試圖重新建立訪問，表明這是一場(chǎng)持續(xù)進(jìn)行的戰(zhàn)役，而非一次性打擊。

目前的修復(fù)措施包括：從GitHub Releases、Docker Hub、Amazon ECR等分發(fā)渠道移除所有惡意發(fā)布；全面撤銷各環(huán)境中的憑證；棄用長(zhǎng)期有效的令牌；正在實(shí)施不可變發(fā)布驗(yàn)證機(jī)制。

Aqua Security正與全球應(yīng)急響應(yīng)公司Sygnia合作處理后續(xù)。

你的CI/CD管道里，有多少工具還在用可變標(biāo)簽？