概要

Aqua Securityの広く使用されている脆弱性スキャナTrivyが、継続的なサプライチェーン攻撃によって侵害されました。この攻撃は、開発者や組織に大きな影響を及ぼす可能性があります。

侵害の詳細

TrivyのメンテナーであるItay Shakury氏は、金曜日にこの侵害について確認しました。脅威アクターは、stolen credentialsを使用してtrivy-actionタグとsetup-trivyタグを強制的にプッシュし、悪意のある依存関係を使用するようにしました。

影響範囲

• 開発者は、侵害されたバージョンを実行した場合、すべてのパイプラインシークレットを変更する必要があります。

セキュリティ企業SocketとWizは、75のtrivy-actionタグが悪意のある依存関係を使用していることを確認しました。これらのタグは開発者マシンやCI/CDパイプラインでシークレットを検索し、暗号化して攻撃者のサーバーに送信します。

攻撃の手法

この攻撃は従来のサプライチェーン攻撃とは異なります。脅威アクターは、Gitタグを強制的にプッシュすることで、悪意のあるコミットへの参照に変更しました。

対策

Aqua SecurityとTrivyのメンテナーは、侵害されたアーティファクトを削除し、新しいシークレットを生成しています。すべてのTrivyユーザーは、SocketとWizのブログ記事を参照して防御手順に従うことを推奨します。

元記事: https://arstechnica.com/security/2026/03/widely-used-trivy-scanner-compromised-in-ongoing-supply-chain-attack/