Trivy sous attaque : Compromission de GitHub Actions

Introduction

Une nouvelle attaque de chaîne d'approvisionnement a été découverte, visant Trivy, un outil de scan de vulnérabilités. Cette attaque a compromis les actions GitHub de Trivy, permettant aux attaquants d'exécuter du code malveillant dans les pipelines de CI/CD.

Contexte Technique

Les attaquants ont utilisé des informations d'identification compromises pour accéder au référentiel GitHub de Trivy et ont modifié 75 balises de version pour pointer vers des commits malveillants. Ces balises ont été utilisées pour distribuer un payload malveillant conçu pour exécuter des actions dans les environnements de CI/CD, notamment pour extraire des secrets et des informations sensibles.

Les mécanismes d'attaque impliquent la création de nouveaux commits avec des métadonnées falsifiées, notamment en clonant les métadonnées des commits d'origine et en les remplaçant par des métadonnées malveillantes. Cela a permis aux attaquants de créer des commits malveillants qui apparaissent légitimes dans l'historique Git.

Analyse et Implications

L'attaque a des implications importantes pour la sécurité des pipelines de CI/CD. Les utilisateurs de Trivy qui référencent les actions GitHub de Trivy par balise de version sont susceptibles d'exécuter du code malveillant, ce qui peut entraîner la fuite de secrets et d'informations sensibles. L'attaque souligne également l'importance de la sécurité des référentiels et des actions GitHub.

Les risques associés à cette attaque incluent la fuite de secrets, la compromission de comptes et la perte de données sensibles. Les utilisateurs de Trivy doivent prendre des mesures pour se protéger contre cette attaque, notamment en vérifiant leurs workflows et en mettant à jour leurs références vers les actions GitHub de Trivy.

Perspective

Il est essentiel de surveiller les référentiels et les actions GitHub pour détecter les attaques de ce type. Les utilisateurs de Trivy doivent être vigilants et prendre des mesures pour se protéger contre les attaques de chaîne d'approvisionnement. Les prochaines étapes incluent la mise à jour des référentiels et des actions GitHub, ainsi que la mise en place de mesures de sécurité supplémentaires pour prévenir les attaques de ce type.