Trivy 再次遭受供應鏈攻擊,GitHub Actions 標籤系統被入侵

知名開源漏洞掃描工具 Trivy 再度成為駭客目標。這次攻擊針對 GitHub Actions 的標籤(tag)系統進行入侵,成功竊取大量敏感資訊。這是 Trivy 短時間內第二次遭受供應鏈攻擊,引發資安社群高度關注。

Trivy 是由 aquasecurity 開發的熱門開源工具,主要用於掃描容器映像檔、檔案系統和 Git 儲存庫中的安全漏洞。由於其功能強大且易於使用,全球已有數千個組織採用作為 DevSecOps 工作流程的核心工具。然而,開源工具的高採用率也使其成為駭客的理想攻擊目標。

攻擊手法解析:如何透過 GitHub Actions 標籤進行入侵

這次攻擊的核心在於 GitHub Actions 的標籤管理機制漏洞。攻擊者利用以下步驟進行入侵:

  • 標籤篡改:駭客取得 GitHub Actions 工作流程的寫入權限,修改標籤指向
  • 信任機制濫用:利用開發者對 GitHub Actions 的信任,誘騙執行惡意程式碼
  • 敏感資料竊取:透過被入侵的 Actions 擷取儲存在環境變數中的機敏資訊

此攻擊之所以危險,是因為 GitHub Actions 預設被視為可信賴的 CI/CD 平台,開發者往往不會懷疑其安全性。

受影響範圍與實際危害

根據社群回報,此次攻擊影響範圍涵蓋多個層面:

  • 使用 Trivy 進行自動化安全掃描的開發團隊
  • 依賴 GitHub Actions 作為 CI/CD 管道的組織
  • 所有使用類似開源資安工具的企業

攻擊者可能已取得大量專案的金鑰、API Token 和其他認證資訊,造成潛在的橫向移動風險。

防護措施與緩解策略

面對此類供應鏈攻擊,組織應立即採取以下防護措施:

1. 審查 GitHub Actions 權限

檢查所有 GitHub Actions 工作流程的權限設定,確保只有必要的人員具有寫入權限。启用双因素认证(2FA)可显著降低账户被盗风险。

2. 驗證工具來源

gh run view <run-id> --log

在使用任何開源工具前,應驗證其數位簽章和雜湊值。建議從官方 GitHub 儲存庫直接下載,而非透過第三方管道。

3. 實施 GitHub Advanced Security

啟用 GitHub 的進階安全功能,包括 dependency graph、secret scanning 和 code scanning,以便及早偵測異常行為。

4. 輪換所有敏感認證

若懷疑可能受到影响,应立即轮换所有 API 密钥、部署凭证和存储库访问令牌。

資安建議與未來展望

這次事件再次提醒我們,供應鏈安全是 DevSecOps 中不可忽視的一環。建議組織採取以下長期策略:

  • 零信任架構:不要信任任何元件,即使是常用的開源工具
  • 定期审计:定期檢視 CI/CD 流程中的所有相依項目
  • 安全培訓:加強開發團隊對供應鏈攻擊的認識
  • SBOM 管理:維護軟體物料清單,便於快速回應資安事件

面對日益演進的攻擊手法,主動出擊比被動防禦更為重要。