Компрометация цепочки поставок Trivy: рекомендации Defender

Введение

Microsoft выпустила новые рекомендации по компрометации цепочки поставок Trivy в марте 2026 года — значимой атаке на один из самых широко используемых open-source сканеров уязвимостей. Для команд безопасности и DevOps это напоминание о том, что доверенные компоненты CI/CD могут стать вектором атаки, если злоумышленники злоупотребляют release-пайплайнами, тегами или учетными данными.

Что произошло

19 марта 2026 года злоумышленники, как сообщается, использовали ранее сохраненный доступ для компрометации нескольких официальных каналов распространения Trivy:

• Опубликован вредоносный бинарный файл Trivy: Trivy v0.69.4 был выпущен с malware для кражи учетных данных.
• Теги GitHub Actions были принудительно переписаны: злоумышленники переназначили доверенные теги в trivy-action и setup-trivy на вредоносные коммиты.
• Скрытное выполнение: malware собирал секреты, выводил данные, а затем запускал легитимное сканирование Trivy, поэтому workflows выглядели успешными.
• Признаки более широкой кампании: Microsoft сообщает, что активность вышла за пределы Trivy и затронула Checkmarx KICS и LiteLLM.

Почему эта атака примечательна

Microsoft выделяет два поведения Git/GitHub, которыми воспользовались злоумышленники:

• Изменяемые теги: существующие теги версий можно перенаправить на другие коммиты, если у атакующего есть достаточный уровень доступа.
• Подмена identity коммита: злоумышленники использовали вводящую в заблуждение identity коммитов, чтобы слиться с обычной активностью.

Это затруднило обнаружение компрометации, поскольку многие пайплайны ссылались на actions по имени тега, а не на зафиксированный commit SHA.

На что была нацелена malware

Согласно наблюдениям Microsoft Defender for Cloud, payload был нацелен на:

• облачные учетные данные из AWS, Azure и GCP
• токены service account Kubernetes и секреты кластеров
• переменные среды CI/CD и внутренние файлы runner
• API-ключи, URL webhook, строки подключения к базам данных, VPN-конфигурации и SSH-логи

Украденные данные шифровались и выводились на typosquatted-домен до завершения легитимного сканирования.

Влияние на ИТ- и security-команды

Для администраторов наибольшее беспокойство вызывает риск компрометации в self-hosted GitHub Actions runners, build-агентах и средах разработчиков, где выполнялись затронутые компоненты Trivy. Организациям, использующим ссылки на actions по тегам или непроверенные release-артефакты, возможно, следует исходить из того, что секреты были раскрыты, и выполнить их ротацию.

Microsoft сообщает, что продукты Defender могут помочь выявить связанные действия, включая:

• доступ к сервисам cloud metadata
• перечисление секретов Kubernetes
• подозрительные DNS-запросы или исходящие соединения
• возможную эксфильтрацию с использованием распространенных инструментов, таких как curl

Рекомендуемые следующие шаги

• Определите использование Trivy v0.69.4, trivy-action и setup-trivy в workflows CI/CD.
• Фиксируйте GitHub Actions на commit SHA, а не на изменяемые теги.
• Ротируйте раскрытые секреты для облачных учетных записей, Kubernetes, баз данных и платформ CI/CD.
• Проверьте активность self-hosted runner на предмет подозрительного выполнения процессов, доступа к сервисам metadata и исходящего трафика.
• Используйте Microsoft Defender XDR и Defender for Cloud для поиска индикаторов и расследования затронутых ресурсов.

Этот инцидент показывает, что атаки на цепочку поставок все чаще нацелены на инструменты разработчиков. Командам безопасности следует относиться к инфраструктуре CI/CD как к критически важной production-инфраструктуре и соответствующим образом усиливать ее защиту.