Οι χάκερ του TeamPCP πίσω από την επίθεση αλυσίδας εφοδιασμού Trivy συνέχισαν να στοχεύουν το Aqua Security, ωθώντας κακόβουλες εικόνες Docker και κλέβοντας τον οργανισμό GitHub της εταιρείας για να παραβιάσουν δεκάδες αποθετήρια.
Αυτό ακολουθεί τον παράγοντα απειλών που διακυβεύει τον αγωγό κατασκευής του GitHub για το Trivy, τον σαρωτή της Aqua Security, για να παραδώσει κακόβουλο λογισμικό κλοπής πληροφοριών σε μια επίθεση αλυσίδας εφοδιασμού που επεκτάθηκε στο Docker Hub το Σαββατοκύριακο.
Το Trivy έχει περισσότερα από 33.800 αστέρια στο GitHub και χρησιμοποιείται ευρέως για τον εντοπισμό τρωτών σημείων, εσφαλμένων διαμορφώσεων και εκτεθειμένων μυστικών σε τεχνουργήματα λογισμικού και υποδομές.
Η εταιρεία ασφάλειας εφοδιαστικής αλυσίδας Socket αναφέρει σε έκθεσή της την Κυριακή ότι εντόπισε παραβιασμένα αντικείμενα Trivy που δημοσιεύθηκαν στο Docker Hub.
“Νέες ετικέτες εικόνας 0.69.5 και 0.69.6 προωθήθηκαν στις 22 Μαρτίου χωρίς αντίστοιχες εκδόσεις ή ετικέτες GitHub,” Socket λένε οι ερευνητές. Σύμφωνα με την ανάλυσή τους, οι δύο εικόνες περιέχουν δείκτες συμβιβασμού που σχετίζονται με τον infotealer που ώθησε το TeamPCP αφού απέκτησε πρόσβαση στον οργανισμό GitHub της Aqua Security.
Οι ερευνητές σημειώνουν ότι η τελευταία γνωστή έκδοση του Trivy είναι 0.69.3 και προειδοποιούν ότι ακόμα κι αν δεν είδαν καμία ένδειξη τροποποίησης παλαιότερων εικόνων ή δυαδικών αρχείων μετά τη δημοσίευση, “οι ετικέτες Docker Hub δεν είναι αμετάβλητες και οι οργανισμοί δεν πρέπει να βασίζονται αποκλειστικά σε ονόματα ετικετών για ακεραιότητα”.
Παραβίαση του GitHub του AquaSec
Στις 20 Μαρτίου, η Aqua Security είπε ότι ο ηθοποιός της απειλής απέκτησε πρόσβαση στον οργανισμό GitHub της εταιρείας λόγω ατελής συγκράτηση προηγούμενου περιστατικού που στόχευε το ίδιο εργαλείο στις αρχές του μήνα.
“Εναλλάξαμε μυστικά και μάρκες, αλλά η διαδικασία δεν ήταν ατομική και οι επιτιθέμενοι μπορεί να γνώριζαν ανανεωμένα μάρκες.” Aqua Security
Αυτό επέτρεψε στον εισβολέα να εισαγάγει τον κώδικα συλλογής διαπιστευτηρίων Trivy (TeamPCP Cloud stealer) και να δημοσιεύσει κακόβουλες εκδόσεις του εργαλείου.
Η Aqua απάντησε σε αυτό το περιστατικό δημοσιεύοντας νέες, ασφαλείς εκδόσεις του Trivy στις 20 Μαρτίου και δεσμεύοντας την εταιρεία αντιμετώπισης περιστατικών Sygnia να τους βοηθήσει με την αποκατάσταση και την ιατροδικαστική έρευνα.
Ωστόσο, μέσω ενός ενημέρωση που δημοσιεύτηκε σήμεραη Aqua σημείωσε ότι εντόπισε πρόσθετη ύποπτη δραστηριότητα στις 22 Μαρτίου, υποδεικνύοντας ότι οι ίδιοι φορείς απειλών έχουν αποκαταστήσει τη μη εξουσιοδοτημένη πρόσβαση και πραγματοποίησαν «μη εξουσιοδοτημένες αλλαγές και παραβίαση του χώρου αποθήκευσης».
Η εταιρεία σημείωσε ότι, παρά τη νέα αυτή εξέλιξη, η Trivy δεν επηρεάστηκε αυτή τη στιγμή.
Ενα ανάλυση από το OpenSourceMalwareμια πλατφόρμα πληροφοριών κακόβουλου λογισμικού που βασίζεται στην κοινότητα, εξηγεί ότι το TeamPCP απέκτησε πρόσβαση στο aquasec-com Ο οργανισμός GitHub, όπου το Aqua Security φιλοξενεί τον ιδιόκτητο κώδικα του, ξεχωριστά από αυτόν της εταιρείας υδατοασφάλεια Οργανισμός GitHub για δημόσια αποθετήρια.
Χρησιμοποιώντας ένα σενάριο αυτοματισμού, χρειάστηκαν οι χάκερ περίπου δύο λεπτά για να προσθέσουν το πρόθεμα tpcp-docs- και στα 44 αποθετήρια που είναι διαθέσιμα στον οργανισμό GitHub της εταιρείας και αλλάξτε όλες τις περιγραφές για να διαβάσετε το “TeamPCP Owns Aqua Security”.
Οι ερευνητές έχουν μεγάλη εμπιστοσύνη ότι ο εισβολέας απέκτησε πρόσβαση παραβιάζοντας έναν λογαριασμό υπηρεσίας που ονομάζεται Argon-DevOps-Mgt, ο οποίος είχε πρόσβαση και στους δύο οργανισμούς GitHub της Aqua Security.
Σύμφωνα με το OpenSourceMalware, ο στοχευμένος λογαριασμός υπηρεσίας εξουσιοδότησε ενέργειες που βασίζονται σε Προσωπικό Διακριτικό Πρόσβασης (PAT) ενός τυπικού χρήστη αντί μιας εφαρμογής GitHub.
Το ζήτημα είναι ότι ο έλεγχος ταυτότητας PAT λειτουργεί σαν κωδικός πρόσβασης και είναι έγκυρος για μεγαλύτερο χρονικό διάστημα από το διακριτικό μιας εφαρμογής GitHub. Επιπλέον, ένας λογαριασμός υπηρεσίας χρησιμοποιείται συνήθως για αυτοματοποιημένες εργασίες και δεν διαθέτει προστασία ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Για να ελέγξει ότι ο λογαριασμός είχε δικαιώματα διαχειριστή για τους δημόσιους και ιδιωτικούς οργανισμούς GitHub του AquaSec, το TeamPCP δημιούργησε ένα νέο update-plugin-links-v0.218.2 κλάδο στο κοινό aquasecurity/trivy-plugin-aqua αποθετήριο, το οποίο στη συνέχεια διέγραψαν “ακριβώς το ίδιο δευτερόλεπτο”.
Οι ερευνητές πιστεύουν ότι οι χάκερ απέκτησαν το PAT για τον λογαριασμό υπηρεσίας Argon-DevOps-Mgt χρησιμοποιώντας το TeamPCP Cloud stealer, το οποίο συλλέγει διακριτικά GitHub, κλειδιά SSH, διαπιστευτήρια cloud και μεταβλητές περιβάλλοντος από CI runners.
“Ως λογαριασμός υπηρεσίας που ενεργοποιεί τις ροές εργασιών trivy-plugin-aquaτο διακριτικό του ήταν παρόν στο περιβάλλον του δρομέα», εξηγεί το OpenSourceMalware.
Το OpenSourceMalware έχει παράσχει ένα σύνολο δεικτών συμβιβασμού που μπορούν να βοηθήσουν τους υπερασπιστές να προσδιορίσουν εάν το περιβάλλον τους έχει επηρεαστεί από την επίθεση της εφοδιαστικής αλυσίδας.
Η Aqua Security λέει ότι δεν έχει αποδείξεις ότι η έκδοση Trivy που χρησιμοποιείται στα εμπορικά της προϊόντα έχει επηρεαστεί. “Από τη σχεδίασή της, η διχαλωτή έκδοση της εμπορικής πλατφόρμας της Aqua υστερεί στο Trivy open source με μια ελεγχόμενη διαδικασία ενσωμάτωσης.”
Ωστόσο, η εταιρεία υποσχέθηκε να μοιραστεί ενημερώσεις καθώς προκύπτουν νέες λεπτομέρειες και να δημοσιεύσει πρόσθετα ευρήματα την Τρίτη, στο τέλος της ημέρας.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
