概要

Aqua SecurityのTrivyエコシステムを標的とする供給チェーン攻撃が進行中であり、新たにDocker Hubで不正なDockerイメージが発見されました。

新たな脅威の詳細

Socket社の分析によると、3月22日に2つの新しいDockerイメージタグ（0.69.5と0.69.6）がGitHubリリースやバージョンタグなしで公開されました。この不整合は、非公式な発行活動を示唆しています。

攻撃の範囲

• IOCs: TeamPCP情報窃取型マルウェアと関連するインジケーターが確認されました。
• Dockerタグ: 「latest」タグは現在、0.69.6バージョンを指しています。これは、ユーザーが意図せずに不正なコードをデプロイしてしまう可能性があります。

影響範囲と対策

Docker Hubで「trivy」を検索すると、数千の関連イメージが見つかります。これらのイメージは直接的に不正ではありませんが、攻撃期間中に自動的にプルまたは再ビルドされたものは、悪意のあるコンポーネントを含む可能性があります。

対応策

• アクセス権の取り消し: 信頼性の高い公開メカニズムへの移行が推奨されています。
• CICDパイプラインの審査: Trivyを使用する組織は、直ちにCICDパイプラインを調査し、影響を受けたバージョンを避けるべきです。

結論

この事件は、ソフトウェア供給チェーンのリスクが高まっていることを示しています。開発とデプロイメントパイプライン全体での厳格な整合性検証の重要性を強調します。

元記事: https://gbhackers.com/trivy-supply-chain/