供应链攻击波及千家云环境，黑客组织与勒索团伙合作

在上周的Trivy供应链攻击事件中，已有数千家企业的云环境被植入窃密恶意软件，而发动此次攻击的犯罪分子正在与臭名昭著的勒索团伙Lapsus$等组织展开合作。

"目前我们已经发现超过1000个受影响的SaaS环境正在积极应对这一特定威胁行为者的攻击，"Mandiant咨询公司首席技术官Charles Carmakal在旧金山RSA大会期间的谷歌活动上表示。

"这1000多个下游受害者可能会扩展到另外500个、1000个，甚至10000个，"他继续说道。"我们知道这些攻击者目前正在与其他多个攻击者合作。"

Carmakal表示，这些犯罪分子主要位于美国、英国、加拿大和西欧。他们"以勒索时异常激进而闻名"。"他们非常嚣张、非常激进，所以在未来几天、几周和几个月里，我们将看到其影响。"

据谷歌旗下的另一家安全公司Wiz透露，其中一个团伙就是Lapsus$。

"我们正看到供应链攻击者与Lapsus$等知名勒索团伙之间出现危险的趋同，"Wiz首席研究员Ben Read周二通过电子邮件告诉The Register。

除了攻击Trivy和开源静态分析工具KICK外，这次供应链攻击还对liteLLM进行了木马化处理。liteLLM是一个关键的AI中间件，存在于36%的云环境中。

"通过在生态系统中横向移动——攻击像liteLLM这样存在于超过三分之一云环境中的工具——他们正在制造雪球效应，"Reed说。"这不是一个孤立事件，而是一个系统性活动，需要安全团队采取行动，并且很可能继续扩大。"

根据攻击者公开的电报消息，他们计划继续针对其他热门开源项目。

事件经过如下：上周晚些时候，安全研究员Paul McCarty警告了一起针对Trivy的广泛供应链攻击。Trivy是由Aqua Security维护的开源扫描器，用于发现漏洞、错误配置和暴露的机密信息。

开发者通常将这个扫描器嵌入到他们的CI/CD管道中，这使其成为攻击者利用的宝贵目标，因为它允许他们窃取API密钥、云和数据库凭据、GitHub令牌以及大量其他机密和敏感信息。

一个名为TeamPCP的组织破解了Trivy 0.69.4版本，向用户推送了恶意容器镜像和GitHub发布版本。他们之所以能够做到这一点，是因为早在2月份，同一团伙就利用了Trivy GitHub Action组件中的错误配置，窃取了特权访问令牌。

这个安全问题从未得到完全修复，后来在3月份，恶意分子使用该令牌对Trivy进行了冒名提交。

Socket和谷歌旗下的Wiz研究人员在周末确定，这次攻击破坏了Trivy项目的多个组件：核心扫描器、trivy-action GitHub Action和setup-trivy GitHub Action，并强制推送了76个trivy-action标签中的75个恶意版本，这意味着任何在开发管道中嵌入Trivy的人在打开扫描器时都会执行信息窃取恶意软件。

"GitHub上有超过10000个工作流文件引用了这个操作，潜在的影响范围非常大，"Socket分析师Philipp Burckhardt在周五表示。

研究人员还发现TeamPCP扩大了其操作范围，通过一个前所未见的蠕虫病毒CanisterWorm感染了npm生态系统，利用从最初Trivy攻击中窃取的发布令牌。

周日，Socket发现了发布到Docker Hub的额外恶意镜像，McCarty注意到犯罪分子篡改了Aqua Security的内部GitHub，重命名了所有44个存储库并暴露了内部源代码、CI/CD配置和知识库。当时，每个存储库的描述都写着："TeamPCP拥有Aqua Security"。

据Socket称，"虽然这种访问权限的完整范围仍不清楚，但这些存储库的存在表明在攻击期间对GitHub组织有更深层次的控制。"

Q&A

Q1：Trivy供应链攻击影响了多少家企业？

A：根据Mandiant咨询公司首席技术官透露，目前已发现超过1000个SaaS环境受到影响，而这个数字预计还会继续扩大，可能增加到500个、1000个，甚至10000个受害者。

Q2：TeamPCP是如何成功攻击Trivy的？

A：TeamPCP在2月份利用了Trivy GitHub Action组件中的错误配置，窃取了特权访问令牌。由于这个安全问题从未完全修复，攻击者在3月份使用该令牌对Trivy进行冒名提交，最终在上周成功推送恶意版本。

Q3：除了Trivy之外，这次攻击还影响了哪些软件？

A：攻击还影响了开源静态分析工具KICK和AI中间件liteLLM。liteLLM存在于36%的云环境中，攻击者还通过名为CanisterWorm的蠕虫病毒感染了npm生态系统。