Trivy kompromitacija lanca snabdevanja: Defender
Sažetak
Microsoft je objavio smernice za detekciju, istragu i ublažavanje kompromitacije Trivy lanca snabdevanja iz marta 2026, koja je pogodila Trivy binarni fajl i povezane GitHub Actions. Incident je važan jer je zloupotrebio pouzdane CI/CD bezbednosne alate za krađu akreditiva iz build pipeline-ova, cloud okruženja i developerskih sistema, dok je izgledalo kao da radi normalno.
Uvod
Microsoft je objavio nove smernice o kompromitaciji Trivy lanca snabdevanja iz marta 2026, značajnom napadu na jedan od najšire korišćenih open-source skenera ranjivosti. Za security i DevOps timove, ovo je podsetnik da pouzdane CI/CD komponente mogu postati put napada kada se zloupotrebe release pipeline-ovi, tagovi ili akreditivi.
Šta se dogodilo
Dana 19. marta 2026, napadači su navodno iskoristili prethodno zadržani pristup da kompromituju više zvaničnih Trivy distribucionih kanala:
- Objavljen je zlonamerni Trivy binarni fajl: Trivy v0.69.4 je objavljen sa malware-om za krađu akreditiva.
- GitHub Actions tagovi su force-pushovani: Napadači su ponovo dodelili pouzdane tagove u trivy-action i setup-trivy zlonamernim commit-ovima.
- Prikriveno izvršavanje: Malware je prikupljao tajne podatke, eksfiltrirao podatke, a zatim pokrenuo legitimni Trivy scan kako bi workflow-i delovali uspešno.
- Pokazatelji šire kampanje: Microsoft navodi da se aktivnost proširila i izvan Trivy-ja, uključujući Checkmarx KICS i LiteLLM.
Zašto je ovaj napad značajan
Microsoft ističe dva Git/GitHub ponašanja koja su zloupotrebljena:
- Promenljivi tagovi: Postojeći version tagovi mogu biti preusmereni na druge commit-ove ako napadač ima dovoljan nivo pristupa.
- Lažirani commit identitet: Akteri pretnji koristili su obmanjujuće informacije o commit identitetu kako bi se uklopili.
To je kompromitaciju učinilo teškom za uočavanje jer su se mnogi pipeline-ovi pozivali na actions preko naziva taga, a ne preko fiksiranog commit SHA.
Šta je malware ciljao
Prema zapažanjima Microsoft Defender for Cloud, payload je ciljao:
- Cloud akreditive iz AWS, Azure i GCP
- Kubernetes service-account tokene i cluster tajne
- CI/CD environment varijable i interne runner fajlove
- API ključeve, webhook URL-ove, connection string-ove baza podataka, VPN konfiguracije i SSH logove
Ukradeni podaci su šifrovani i eksfiltrirani ka typosquatted domenu pre nego što je legitimni scan završen.
Uticaj na IT i security timove
Za administratore, najveća briga je izloženost u self-hosted GitHub Actions runner-ima, build agentima i developerskim okruženjima koja su izvršavala pogođene Trivy komponente. Organizacije koje koriste reference na actions zasnovane na tagovima ili neverifikovane release artefakte možda će morati da pretpostave da su tajne informacije bile izložene i da ih rotiraju u skladu s tim.
Microsoft navodi da Defender proizvodi mogu pomoći u detekciji povezanih ponašanja, uključujući:
- Pristup cloud metadata servisima
- Enumeraciju Kubernetes tajni
- Sumnjive DNS ili outbound konekcije
- Potencijalnu eksfiltraciju korišćenjem uobičajenih alata kao što je
curl
Preporučeni naredni koraci
- Identifikujte upotrebu Trivy v0.69.4,
trivy-actionisetup-trivyu CI/CD workflow-ima. - Fiksirajte GitHub Actions na commit SHA umesto na promenljive tagove.
- Rotirajte izložene tajne podatke za cloud naloge, Kubernetes, baze podataka i CI/CD platforme.
- Pregledajte aktivnost self-hosted runner-a radi sumnjivog izvršavanja procesa, pristupa metadata servisima i outbound saobraćaja.
- Koristite Microsoft Defender XDR i Defender for Cloud za hunting pokazatelja i istragu pogođenih resursa.
Ovaj incident pokazuje kako su napadi na lanac snabdevanja sve više usmereni na developerske alate. Security timovi treba da tretiraju CI/CD infrastrukturu kao produkcionu infrastrukturu visoke vrednosti i da je u skladu s tim dodatno zaštite.
Trebate pomoć sa Security?
Naši stručnjaci mogu vam pomoći da implementirate i optimizujete vaša Microsoft rešenja.
Razgovarajte sa stručnjakomBudite u toku sa Microsoft tehnologijama