TokyoBlackHatNews

gbhackers.com 4分で読了

Trivyサプライチェーン攻撃が侵害されたDocker Hubイメージを通じて拡大

Aqua SecurityのTrivyエコシステムを標的とした継続中のサプライチェーン攻撃がエスカレートし、Docker Hub上で新しい侵害されたDockerイメージが発見されました。

Socketの分析によると、2つの新しいDockerイメージタグ0.69.5および0.69.6が、対応するGitHubリリースまたはバージョンタグなしで3月22日に公開されました。

この矛盾は不正な公開活動に関する懸念をすぐに引き起こしました。両方のイメージは、攻撃の初期段階で観察されたペイロードであるTeamPCP infostealerに関連付けられた侵害の指標(IOCs)を含むことが確認されています。

Socketのセキュリティ研究者は、以前aquasecurity/trivy-actionのGitHubリポジトリに影響を与えた同じキャンペーンに関連付けられた悪意のあるアーティファクトを特定しました。これは、より広範で永続的な侵入を示しています。

特に注目すべき点として、「latest」Dockerタグは現在バージョン0.69.6を指しており、デフォルトイメージをプルしている無防備なユーザーが、気付かないうちに侵害されたコードを彼らの環境に配置している可能性があります。

Trivyサプライチェーン攻撃

影響を受けたイメージの詳細なバイナリ分析により、TeamPCPマルウェア攻撃に関連付けられた複数の既知のIOCが明らかになりました。最も顕著な指標の1つは、Aqua Securityの正当なインフラストラクチャを模倣するように設計されたタイポスクワッティングされたコマンドアンドコントロール(C2)ドメイン(scan.aquasecurity.org)です。

研究者はまた、payload.encおよびtpcp.tar.gzなどのファイルを含む流出関連のアーティファクトを特定し、アクティブなデータ収集機能を示唆しています。

さらに、tpcp-docsという名前のフォールバックGitHubリポジトリへの参照がバイナリに埋め込まれており、ペイロード配信または更新のセカンダリチャネルとして機能する可能性があります。

これらの発見は、攻撃が単純なコード改ざんを超えており、永続性とデータ流出のために設計されたインフラストラクチャを組み込んでいることを確認しています。

さらに懸念を深める問題として、セキュリティ研究者のPaul McCartyは、Aqua SecurityのGitHub組織自体が攻撃中に露出した可能性があるという兆候を報告しました。観察によると、内部リポジトリが一時的にアクセス可能だった可能性があり、アクセス制御のより深い侵害を示唆しています。

この露出の全範囲は不明なままですが、この事件は、攻撃者が昇格した権限を得た可能性があり、ソースコードと配布チャネルの両方を操作することができたことを強調しています。

現在の調査結果は、侵害されたリリースと安全なリリースの明確なタイムラインを確立しています。バージョン0.69.3は、最後に検証されたクリーンリリースです。

バージョン0.69.4は最初に侵害されたバージョンでしたが、その後削除されました。新しく特定されたDockerイメージ0.69.5および0.69.6も悪意があることが確認されています。

0.69.3以前またはそれを含むバージョンが公開後に変更されたことを示唆する証拠はありません。ただし、セキュリティ専門家は、Dockerタグが可変であり、以前に信頼されたタグが予告なしに悪意のあるイメージに再割り当てされる可能性があることに注意を促しています。

軽減と対応 اقدامات

Docker Hub上で「trivy」を検索すると、サードパーティビルドやCI/CD統合を含む数千の関連イメージが表示されます

これらのイメージは本質的に侵害されていませんが、攻撃期間中に影響を受けたバージョンを使用して自動的にプルまたは再構築されたものは、悪意のあるコンポーネントを組み込んでいる可能性があります。

これは、特に自動化されたパイプラインと依存関係の更新に依存する組織にとって、潜在的な攻撃面を大幅に広げます。

対応として、組織はすでに防御措置を取っています。Trivyに依存する広く使用されているオープンソースプロジェクトのメンテナーは、アクセストークンの取り消しを開始し、信頼できる公開ワークフローなどのより安全な公開メカニズムに移行しています。

セキュリティチームは、彼らのTrivy使用についてCI/CDパイプラインを直ちに監査し、影響を受けたバージョンを避け、侵害されたイメージを含む最近の実行を潜在的に敵対的なものとして扱うことをお勧めします。

調査が続く中、この事件は、ソフトウェアサプライチェーンに関連する増加するリスク、および開発と展開パイプライン全体での厳格な整合性検証の重要性を強調しています。

翻訳元: https://gbhackers.com/trivy-supply-chain/

ソース: gbhackers.com
#Aqua Security #CI/CDセキュリティ #Docker Hub #GitHub侵害 #TeamPCP #Trivy #コンテナセキュリティ #サプライチェーン攻撃 #データ漏洩 #マルウェア

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚