کمیته رکن چهارم – ابزار پرکاربرد اسکن آسیبپذیری Trivy در یک حمله زنجیره تأمین توسط یک گروه تهدید آلوده شده و نسخههای رسمی آن برای توزیع بدافزار سرقت اطلاعات مورد سوءاستفاده قرار گرفتهاند.
به گزارش کمیته رکن چهارم، این حمله که به گروهی با نام TeamPCP نسبت داده شده، منجر به انتشار نسخه آلوده ۰٫۶۹٫۴ از این ابزار و همچنین دستکاری گسترده در GitHub Actions مرتبط با آن شده است.
بررسیها نشان میدهد مهاجمان با سوءاستفاده از دسترسیهای افشاشده، به مخزن پروژه دسترسی یافته و فایلهای حیاتی از جمله entrypoint.sh را با نسخههای مخرب جایگزین کردهاند. در نتیجه، باینریهای رسمی نیز به بدافزار آلوده شدهاند.
بدافزار تعبیهشده در این ابزار یک infostealer بوده که قادر به جمعآوری طیف گستردهای از اطلاعات حساس از جمله کلیدهای SSH، متغیرهای محیطی، دادههای ابری (AWS، GCP، Azure)، توکنهای CI/CD و فایلهای پیکربندی بوده است.
بر اساس این گزارش، دادههای سرقتشده در قالب فایل فشرده ذخیره شده و به سرورهای تحت کنترل مهاجم ارسال میشد. همچنین در صورت عدم موفقیت، این اطلاعات در مخازن GitHub قربانی بارگذاری میشد.
مهاجمان برای حفظ دسترسی، یک اسکریپت پایتون را بهعنوان سرویس systemd در سیستم قربانی ثبت میکردند تا ماندگاری خود را تضمین کنند.
دامنه تأثیر
نسخه آلوده Trivy حدود سه ساعت در دسترس بوده، اما تگهای مخرب GitHub Actions تا ۱۲ ساعت فعال باقی ماندهاند. این موضوع باعث شده هر pipeline که در این بازه اجرا شده، پیش از اجرای ابزار، کد مخرب را اجرا کند.
پیشزمینه
در ادامه این حمله، گزارشهایی از انتشار یک بدافزار خودانتشار نیز منتشر شده که میتواند پکیجهای نرمافزاری را آلوده کرده و بهسرعت در زنجیره تأمین گسترش یابد.
کارشناسان امنیتی تأکید میکنند این حادثه نشاندهنده افزایش خطر حملات زنجیره تأمین است؛ جایی که حتی ابزارهای امنیتی نیز میتوانند به بردار حمله تبدیل شوند و اعتماد صرف به منابع رسمی دیگر کافی نیست.
منبع: BleepingComputer
