Supply chain атака срещу Trivy прераства в компрометиране на Docker, npm и Kubernetes среди

Компрометиране на широко използвания инструмент Trivy доведе до мащабна supply chain атака, която излиза извън рамките на първоначалния достъп и засяга cloud и DevOps среди.

Зловредни версии бяха разпространени чрез Docker Hub, след което атаката се разширява към CI/CD процеси, npm пакети и Kubernetes инфраструктура.

Този случай показва колко бързо един компрометиран компонент може да засегне цялата технологична верига.

Какво се случи

Бяха публикувани неоторизирани версии на Trivy без официални релийзи:

• 0.69.4
• 0.69.5
• 0.69.6

Тези версии съдържат зловреден код, свързан с infostealer, асоцииран с групата TeamPCP.

Последната чиста версия е 0.69.3.

Развитие на атаката

Атаката не спира до компрометиран софтуер.

Наблюдава се разширяване в няколко етапа:

1. Кражба на данни

Събиране на креденшъли от CI/CD и developer среди.

2. Разпространение

Компрометиране на:

• GitHub репозитории
• GitHub Actions
• npm пакети

3. Саморазпространяващ се malware

Разпространение на worm (CanisterWorm).

4. Насочване към инфраструктура

Засегнати са:

• Docker среди
• Kubernetes клъстери
• други cloud услуги

5. Деструктивни действия

В определени случаи:

• изтриване на ресурси
• рестартиране на нодове
• компрометиране на цели среди

Защо това е важно

Този случай показва ясно:

Инструментите за сигурност също могат да бъдат компрометирани.

Една точка на доверие може да доведе до:

• компрометирани среди за разработка
• засегнати production системи
• разпространение през автоматизация

Необходими действия

Организациите трябва:

• да избягват засегнатите версии
• да проверят използваните контейнерни образи
• да ревизират CI/CD pipeline-и
• да сменят компрометирани креденшъли
• да наблюдават Kubernetes и Docker среди

Всички системи, използвали засегнатите версии, трябва да се считат за рискови.

Перспективата на DIAMATIX

Този инцидент показва промяна в атаките.

Фокусът вече е върху development веригата.

Основните рискове са:

• доверие в open-source инструменти
• високи права на автоматизирани акаунти
• липса на видимост в CI/CD

Supply chain сигурността вече е ключова част от киберзащитата.

Организациите трябва да наблюдават не само крайните системи, но и:

• build процесите
• автоматизираните акаунти
• container инфраструктурата

Източници

• The Hacker News
• Socket Security
• OpenSourceMalware
• Aqua Security
• Aikido Security
• GitHub Security Advisories

Статията е базирана на публично достъпна информация към март 2026 г.