След първоначалния пробив в supply-chain веригата на Trivy, хакерската група TeamPCP продължава активните си действия срещу Aqua Security, разширявайки обхвата на атаката.
Новите инциденти включват:
- публикуване на зловредни Docker образи
- компрометиране на GitHub организацията на компанията
- манипулиране на десетки хранилища
Това е класически пример за ескалираща supply-chain атака с потенциално глобално въздействие.
Компрометирани Docker образи – скритият риск
Компанията Socket установява, че в Docker Hub са качени компрометирани версии на Trivy:
- версии 0.69.5 и 0.69.6
- публикувани без официални GitHub релийзи
- съдържат индикатори за инфостийлър зловреден код
Важно уточнение – Docker таговете не са неизменяеми, което означава, че:
- съществува риск от подмяна на съдържание
- не може да се разчита само на версията като гаранция за сигурност
Как е осъществен пробивът – слабости в DevOps сигурността
Анализът показва, че атаката е възможна поради:
- непълно ограничаване на предходен инцидент
- компрометиране на service акаунт Argon-DevOps-Mgt
- използване на Personal Access Token (PAT) вместо по-сигурни механизми
Критичният проблем – PAT функционира като парола и:
- има по-дълъг живот
- често не е защитен с MFA
- се съхранява в CI/CD среди
Това позволява на атакуващите да:
- инжектират зловреден код
- достъпят както публични, така и частни репозитории
- извършват автоматизирани промени в инфраструктурата
Масова компрометация на GitHub хранилища
Според анализ на OpenSourceMalware:
- атакуващите получават достъп до GitHub организацията
- за по-малко от 2 минути модифицират 44 репозитории
- добавят префикс tpcp-docs- и променят описанията
Това демонстрира:
- висока степен на автоматизация
- предварителна подготовка
- ясна демонстрация на контрол над инфраструктурата
Инфостийлърът зад атаката
Ключов елемент в операцията е TeamPCP Cloud stealer, който:
- събира GitHub токени
- извлича SSH ключове
- компрометира cloud идентификационни данни
- достъпва environment променливи от CI runner-и
Това превръща CI/CD средите в основна точка на компрометиране.
Реакция на Aqua Security и текущ статус
Aqua Security предприема:
- ротация на ключове и токени
- публикуване на безопасни версии на Trivy
- ангажиране на Sygnia за разследване
Въпреки това:
- на 22 март е засечена нова неоторизирана активност
- атакуващите успяват да възстановят достъп
Компанията уточнява, че комерсиалните ѝ продукти не са засегнати, благодарение на отделен и контролиран интеграционен процес.
Анализ – стратегически изводи от атаката
1. Supply-chain атаките стават все по-сложни
Нападателите не просто компрометират код – те атакуват целия процес на разработка.
2. CI/CD средите са критична слабост
Липсата на защита на service акаунти и токени създава директен достъп до инфраструктурата.
3. Доверието в open-source екосистемата е под натиск
Инструменти като Trivy се използват масово, което увеличава ефекта от подобни атаки.
4. Необходимост от Zero Trust подход в DevOps
Организациите трябва да:
- ограничат правата на акаунти
- използват краткоживеещи токени
- внедрят MFA навсякъде
- валидират целостта на артефакти
Атаката срещу Aqua Security е ясен пример за това как компрометирането на една точка в DevOps веригата може да доведе до широкоразпространен риск.
Supply-chain сигурността вече не е опция – тя е фундаментален елемент от киберзащитата на всяка организация.
