北京赛克艾威科技有限公司 2026-03-23
Trivy 是一个安全扫描器。2026年3月19日,一名威胁行为者使用受损的凭据发布了一个恶意的 Trivy v0.69.4 版本,将 \`aquasecurity/trivy\-action\` 中的77个版本标签中的76个强制推送为窃取凭据的恶意软件,并将 \`aquasecurity/setup\-trivy\` 中的所有7个标签替换为恶意提交。此次事件是2026年2月下旬开始的供应链攻击的延续。在3月1日首次披露后,进行了凭据轮换,但该轮换并非原子操作(并非所有凭据都同时撤销)。攻击者可能在轮换窗口期间(持续了几天)使用有效的令牌泄露新轮换的秘密。这可能使攻击者保留访问权限并执行3月19日的攻击。受影响的组件包括 \`aquasecurity/trivy\` Go / 容器镜像版本 0.69.4,\`aquasecurity/trivy\-action\` GitHub Action 版本 0.0.1 – 0.34.2(76/77),以及 \`aquasecurity/setup\-trivy\` GitHub Action 版本 0.2.0 – 0.2.6,在使用安全提交重新创建 0.2.6 之前。已知...
暂无