Aanvallers voorzien vulnerability scanner Trivy van infostealer-malware

In dit artikel:

Op 19 maart is een release van de veelgebruikte open source vulnerability scanner Trivy besmet geleverd: versie 0.69.4 (en ook getroffen releases van trivy-action en setup-trivy) bevatte een infostealer die in stilte wachtwoorden, sleutels en andere gevoelige gegevens naar aanvallers stuurde. De tool wordt ontwikkeld door Aqua Security; beveiligingsonderzoekers van Wiz en CrowdStrike analyseerden en publiceerden details over het incident. Aqua zegt dat het om een supplychain‑aanval gaat die eind februari begon. Hoewel credentials vanaf 1 maart werden gewijzigd, werd niet alles tegelijk ingetrokken; aanvallers benutten dat ‘rotation window’ om tokens en nieuwe secrets te bemachtigen en vervolgens gemanipuleerde builds uit te brengen.

De besmette builds werden via de reguliere distributiekanalen verspreid (GHCR, ECR Public, Docker Hub, deb/rpm-pakketten en get.trivy.dev). Ook een Trivy VS Code‑extensie op OpenVSX bleek eerder voorzien van malware. De gestolen data omvatte onder meer SSH-private keys, cloud‑credentials (AWS, GCP, Azure), Kubernetes- en serviceaccount-tokens, registry‑credentials, database‑inloggegevens, CI/CD‑configuraties, Terraform/Ansible/Helm‑secrets, TLS-private keys, .env‑bestanden, API‑sleutels, cryptowallet‑keys en zelfs systeemfiles als /etc/passwd en shell histories.

Beïnvloede organisaties worden dringend aangespoord alle secrets die via getroffen pipelines toegankelijk waren onmiddellijk te roteren en incidentrespons uit te voeren. Het voorval illustreert de risico’s van supplychain‑aanvallen op open source security‑tools; ontwikkelaars en teams wordt aangeraden builds te verifiëren, releases te pinnen en strengere geheimbeheer- en rotatieprocedures te hanteren.