Trivy供应链攻击扩散至Docker平台，引发蠕虫和Kubernetes擦除器威胁

网络安全研究人员发现，继Trivy供应链攻击之后，恶意软件通过Docker Hub进行传播，凸显了开发者环境中不断扩大的影响范围。

Docker Hub上Trivy的最后一个已知清洁版本是0.69.3。恶意版本0.69.4、0.69.5和0.69.6已从容器镜像库中删除。

Socket安全研究员Philipp Burckhardt表示："新的镜像标签0.69.5和0.69.6于3月22日推送，但没有相应的GitHub发布版本或标签。这两个镜像都包含与此次攻击活动早期阶段观察到的同一TeamPCP信息窃取器相关的妥协指标。"

这一发展源于对Trivy的供应链入侵攻击。Trivy是由Aqua Security维护的流行开源漏洞扫描工具，威胁行为者利用被入侵的凭据，在该工具的木马化版本以及两个相关GitHub Actions"aquasecurity/trivy-action"和"aquasecurity/setup-trivy"中植入凭据窃取器。

该攻击产生了下游影响，攻击者利用窃取的数据入侵了数十个npm包，以分发名为CanisterWorm的自传播蠕虫。该事件被认为是由名为TeamPCP的威胁行为者实施的。

据OpenSourceMalware团队称，攻击者破坏了与Aqua Security的"aquasec-com" GitHub组织相关的所有44个内部存储库，通过在每个存储库名称前添加"tpcp-docs-"前缀，将所有描述设置为"TeamPCP Owns Aqua Security"，并将其公开暴露。

据说所有存储库都在2026年3月22日UTC时间20:31:07至20:32:26之间的脚本化2分钟内被修改。经高置信度评估，威胁行为者利用被入侵的"Argon-DevOps-Mgt"服务账户实现了这一目的。

安全研究员Paul McCarty表示："我们对GitHub事件API的取证分析指向一个被入侵的服务账户令牌——很可能是在TeamPCP之前的Trivy GitHub Actions入侵期间被窃取的——这是攻击载体。这是一个服务/机器人账户（GitHub ID 139343333，创建于2023年7月12日），具有一个关键属性：它连接了两个GitHub组织。"

McCarty补充说："这个账户的一个被入侵令牌为攻击者提供了对两个组织的写入/管理权限。"

这一发展是来自威胁行为者的最新升级，该行为者已建立了针对云基础设施的声誉，同时逐步构建系统性暴露Docker API、Kubernetes集群、Ray仪表板和Redis服务器的能力，以窃取数据、部署勒索软件、进行敲诈和挖掘加密货币。

他们不断增长的复杂性最好地体现在新型擦除器恶意软件的出现上，该软件通过被窃取的密钥通过SSH传播，并在本地子网中利用端口2375上暴露的Docker API。

归因于TeamPCP的新载荷已被发现不仅限于凭据窃取，还会擦除位于伊朗的整个Kubernetes集群。该shell脚本使用与CanisterWorm相关的同一ICP容器，然后运行检查以识别伊朗系统。

Aikido安全研究员Charlie Eriksen说："在Kubernetes上：在每个节点（包括控制平面）上部署特权DaemonSet。伊朗节点通过名为'kamikaze'的容器被擦除并强制重启。非伊朗节点安装CanisterWorm后门作为systemd服务。非K8s伊朗主机执行'rm -rf / --no-preserve-root'。"

鉴于攻击的持续性质，组织必须审查其在CI/CD管道中对Trivy的使用，避免使用受影响的版本，并将任何最近的执行视为可能已被入侵。

OpenSourceMalware表示："这次入侵展示了供应链攻击的长尾效应。几个月前在Trivy GitHub Actions入侵期间收集的凭据今天被武器化，用于破坏整个内部GitHub组织。Argon-DevOps-Mgt服务账户——一个连接两个组织并具有长期PAT的单一机器人账户——是薄弱环节。"

"从云利用到供应链蠕虫再到Kubernetes擦除器，他们正在构建能力并针对安全供应商生态系统本身。云安全公司被云原生威胁行为者入侵的讽刺意味，业界不应忽视。"

Q&A

Q1：TeamPCP是什么组织？他们做了什么？

A：TeamPCP是一个专门针对云基础设施的威胁行为者组织。他们通过入侵Trivy供应链，窃取凭据，传播CanisterWorm蠕虫，并开发了专门针对Kubernetes集群的擦除器恶意软件，特别是针对伊朗系统进行破坏性攻击。

Q2：Trivy供应链攻击具体是如何发生的？

A：攻击者利用被入侵的凭据，在Trivy开源漏洞扫描工具的0.69.4、0.69.5和0.69.6版本中植入信息窃取器，并通过相关GitHub Actions进行传播。随后利用窃取的数据入侵npm包和Docker Hub，造成广泛影响。

Q3：如何防范这类供应链攻击？

A：组织应审查CI/CD管道中对Trivy的使用，避免使用受影响版本（0.69.4及以上），将最近执行的相关操作视为可能已被入侵，并加强服务账户权限管理，避免单一账户连接多个组织的情况。