サイバーセキュリティの世界は、規模が拡大し続けている深刻なサプライチェーン攻撃に直面しています。最近発見されたGitHubのaquasecurity/trivy-actionリポジトリを巻き込んだ侵害に続き、Socketの脅威研究者は危険な事態の拡大を明らかにしました。
悪意のある攻撃者は現在、侵害されたTrivyソフトウェアをDocker Hubに直接公開することに成功しました。Trivyは開発者が自動パイプラインの脆弱性を発見するために使用される非常に人気のあるオープンソースセキュリティスキャナーであるため、この新たな展開は無数の組織に大きなリスクをもたらします。
攻撃は3月22日に新たな段階に移り、ハッカーはDocker Hubに2つの新しいソフトウェアイメージタグをプッシュしました。
0.69.5と0.69.6というラベルが付けられたこれらの新しいタグは静かに現れ、GitHub上に対応する公式リリースは存在しません。さらに懸念すべきことに、Docker Hub上の標準的な「最新」タグは現在バージョン0.69.6を指しています。
セキュリティアナリストが悪質なファイルを検査し、この攻撃で以前に確認された同じ悪質なコードが含まれていることを確認しました。
主な脅威はTeamPCPインフォスティーラーです。このタイプのマルウェアはシステムに静かに侵入し、パスワード、セキュリティトークン、APIキーなどの機密情報を盗むように設計されています。
攻撃者は正規のAqua Securityウェブアドレスに見えるようにドメイン名をわざと誤字にしました。
研究者はまた、payload.encおよびtpcp.tar.gzという名前の盗まれたデータファイル、ならびにtpcp-docsという名前のバックアップGitHubリポジトリを指す隠されたコードを特定しました。
セキュリティチームがこのインシデントを乗り切るのを支援するために、最近影響を受けたTrivyバージョンの明確な内訳は次のとおりです。
このインシデントの全体的な規模は、当初の予想よりもはるかに大きい可能性があります。セキュリティ研究者のPaul McCartyは、Aqua SecurityのメインのGitHubオーガニゼーションが攻撃中に露出していたと指摘しました。
この懸念すべき詳細は、ハッカーが内部プライベートリポジトリを一時的に公開されたものにしたことを示唆しています。この露出の正確な詳細はまだ調査中ですが、攻撃者が達成したシステムアクセスの深刻なレベルを明らかに示しています。
これらのサードパーティイメージはデフォルトでは侵害されていませんが、隠れたリスクを伴っています。
攻撃ウィンドウ中に影響を受けたTrivyバージョンを使用して自動的にダウンロードまたは再構築されたシステムには、悪質なコードが含まれている可能性があります。これはソフトウェアサプライチェーン全体に危険な波及効果を生み出します。
Trivyを使用するすべての組織は、すぐに開発パイプラインを確認する必要があります。セキュリティチームは影響を受けたバージョンを完全に回避し、最近の自動スキャンをすべて潜在的に侵害されているものとして扱う必要があります。
素早く行動することで、企業はTeamPCPインフォスティーラーが貴重な内部データを危険にさらすことを防ぐことができます。
翻訳元: https://cyberpress.org/trivy-attack-hits-dockerhub/