Trivy bị lợi dụng trong tấn công chuỗi cung ứng: Lộ bí mật CI/CD, mã độc lan qua npm

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.719 bài viết
Trivy bị lợi dụng trong tấn công chuỗi cung ứng: Lộ bí mật CI/CD, mã độc lan qua npm
WhiteHat Team
Một chiến dịch tấn công chuỗi cung ứng mới đang khiến cộng đồng an ninh mạng lo ngại khi lợi dụng công cụ quét lỗ hổng Trivy trong môi trường CI/CD. Điểm mấu chốt không nằm Trivy mà do các pipeline tích hợp công cụ này thường chứa nhiều token và quyền truy cập quan trọng.
1774255822760.png

Theo các báo cáo ban đầu, kẻ tấn công đã chiếm được thông tin xác thực trong quá trình tích hợp Trivy với GitHub Actions. Từ đó, chúng kiểm soát repository liên quan, sửa đổi các version tag để trỏ tới mã độc. Thủ đoạn này cho phép phát tán phiên bản bị cài cắm mà không cần tạo bản phát hành mới, khiến hệ thống CI/CD tự động tải về và thực thi mà không bị nghi ngờ.

Khi xâm nhập thành công vào môi trường CI/CD, mã độc lập tức tìm cách thu thập các dữ liệu nhạy cảm như SSH key, token GitHub, thông tin tài khoản cloud, cấu hình Docker/Kubernetes và cả ví tiền điện tử. Dữ liệu sau đó được mã hóa và gửi ra ngoài; trong trường hợp bị chặn, mã độc có thể lợi dụng chính tài khoản GitHub của nạn nhân để đẩy dữ liệu lên các repository công khai nhằm né tránh kiểm soát.

Đáng chú ý, chiến dịch không dừng lại ở một mục tiêu đơn lẻ mà tiếp tục lan rộng sang hệ sinh thái npm. Một biến thể mã độc dạng “sâu” có khả năng tự lây lan được phát hiện đã lợi dụng các package bị chiếm quyền để phát tán. Khi lập trình viên cài đặt, mã độc sẽ âm thầm thiết lập backdoor, đánh cắp token npm và tiếp tục lan sang các package khác mà nạn nhân có quyền truy cập, tạo thành chuỗi lây nhiễm diện rộng.

Vậy là trong vụ việc này, tin tặc không cần khai thác lỗ hổng zero-day, mà chỉ cần chiếm được token hoặc quyền truy cập pipeline là có thể biến các công cụ hợp pháp thành kênh tấn công. Khi Trivy, GitHub Actions và npm được sử dụng ngày càng phổ biến tại Việt Nam, rủi ro lộ lọt dữ liệu và lây nhiễm chuỗi cung ứng là hoàn toàn hiện hữu.

Doanh nghiệp nên nhanh chóng kiểm tra lại hệ thống CI/CD, đặc biệt là các dấu hiệu truy cập bất thường. Nếu nghi ngờ bị ảnh hưởng, cần thay mới toàn bộ token, API key và thông tin đăng nhập. Đồng thời, nên giới hạn quyền truy cập ở mức cần thiết, cố định phiên bản công cụ để tránh bị thay đổi ngoài ý muốn và tăng cường theo dõi quá trình build nhằm phát hiện sớm các hành vi đáng ngờ.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Chiến dịch DarkSword: Chỉ cần mở web iPhone có thể lập tức bị chiếm quyền
  • Lỗ hổng trong ScreenConnect có thể bị lợi dụng để chiếm quyền hệ thống
  • Zero-day Cisco bị khai thác: Nguy cơ ransomware xâm nhập hạ tầng doanh nghiệp Việt Nam
  • Angular dính lỗ hổng nguy hiểm, hàng loạt ứng dụng web có thể bị khai thác
  • 12,6 triệu máy chủ Linux có nguy cơ bị chiếm quyền root do lỗ hổng CrackArmor
  • Apple vá lỗ hổng WebKit bị khai thác bởi bộ công cụ tấn công Coruna
    • Thẻ
    bảo mật ci/cd việt nam canisterworm là gì lỗ hổng github actions mã độc npm tự lây tấn công chuỗi cung ứng phần mềm trivy bị tấn công
    Bên trên