Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Supply-chain напад врз Trivy се шири и на Docker и GitHub репозиториуми

Објавено: 24.03.2026

Хакерската група TeamPCP, која стои зад нападот врз Trivy, продолжи да ја таргетира Aqua Security, објавувајќи малициозни Docker слики и преземајќи контрола врз GitHub организацијата на компанијата за да измени десетици репозиториуми.

Ова следува откако напаѓачите го компромитирале GitHub build процесот за Trivy – алатка на Aqua Security – и дистрибуирале инфостилер малвер во supply-chain напад кој се проширил и на Docker Hub.

Trivy, кој има над 33.800 ѕвезди на GitHub, е широко користен за откривање ранливости, лоши конфигурации и изложени тајни во софтвер и инфраструктура.

Компанијата Socket соопшти дека идентификувала компромитирани Trivy верзии објавени на Docker Hub. Новите image тагови 0.69.5 и 0.69.6 биле објавени на 22 март без соодветни GitHub изданија, и содржеле индикатори на компромитација поврзани со инфостилерот на TeamPCP.

Истражувачите предупредуваат дека, иако нема докази за измена на постари верзии, Docker таговите не се непроменливи, па не треба да се користат како единствен доказ за интегритет.

Пробивање на GitHub на Aqua Security

На 20 март, Aqua Security соопшти дека напаѓачите добиле пристап до нивната GitHub организација поради нецелосно санирање на претходен инцидент.

Иако биле ротирани токени и тајни, процесот не бил целосно изолиран, што им овозможило на напаѓачите повторно да добијат пристап.

Со тоа, тие:

  • вбризгале код за крадење креденцијали (TeamPCP Cloud stealer)
  • објавиле малициозни верзии на Trivy

Aqua реагирала со:

  • објавување безбедни верзии на Trivy
  • ангажирање на Sygnia за истрага

Сепак, на 22 март биле откриени нови сомнителни активности, што покажува дека напаѓачите повторно воспоставиле неовластен пристап и направиле измени во репозиториуми.

Како е изведен нападот

Според OpenSourceMalware:

  • Напаѓачите добиле пристап до приватната GitHub организација (aquasec-com)
  • Со автоматизиран скрипт, за околу 2 минути измениле 44 репозиториуми
  • Додале префикс „tpcp-docs-“ и опис „TeamPCP Owns Aqua Security“

Се верува дека пристапот бил добиен преку компромитирање на сервисна сметка (Argon-DevOps-Mgt), која користела Personal Access Token (PAT) наместо побезбеден GitHub App.

Проблемот со PAT:

  • функционира како лозинка
  • има подолг рок на важност
  • често нема MFA заштита

Напаѓачите најверојатно го украле токенот преку TeamPCP Cloud stealer, кој собира:

  • GitHub токени
  • SSH клучеви
  • cloud креденцијали
  • environment варијабли

Заклучок

Овој напад покажува колку supply-chain нападите се опасни:

➡️ Доволна е една компромитирана сметка
➡️ За да се дистрибуира малвер преку доверливи алатки
➡️ И да се компромитираат илјадници системи

Aqua Security вели дека нивните комерцијални производи не се засегнати, но истрагата сè уште трае и се очекуваат дополнителни информации.

Извори:

  • Bleeping Computer – Trivy supply-chain attack spreads to Docker, GitHub repos Bleeping Computer