Aqua SecurityのTrivyスキャナがサプライチェーン攻撃を受け、ソフトウェアの整合性を脅かす

概要

Aqua Securityは、人気のあるオープンソースの脆弱性スキャナであるTrivyがサプライチェーン攻撃を受けたことを発表しました。この攻撃により、GitHub Actionsを通じて悪意のあるコードが配布され、デプロイメントパイプラインを標的にして機密情報を盗み出すことが可能になりました。

Aqua SecurityのTrivyスキャナは、GitHub Actionsを通じたサプライチェーン攻撃を受けました。この攻撃により、悪意のあるコミットがaquasecurity/trivy-actionおよびsetup-trivyリポジトリの既存バージョンタグに強制プッシュされました。

多くの組織は、デプロイメント自動化においてバージョンタグに基づいてツールを取得するように設定されています。そのため、これらのシステムは自動的に汚染されたコードをダウンロードし、正当なTrivyスキャンの前に悪意のあるペイロードが実行されました。

この攻撃により、APIトークンやクラウドプロバイダーの資格情報（AWS、GCP、Azure）、SSHキー、Kubernetesトークン、Docker構成ファイルなどが盗まれました。

Aqua Securityはグローバルなインシデントレスポンス企業Sygniaと協力し、法医学的調査と封じ込めを行っています。攻撃はマルチステージで行われており、2026年2月末に最初の侵入があり、3月1日の不完全な資格情報の更新により攻撃者がアクセスを維持しました。

Aqua Securityはすべての資格情報を無効化し、長期的なトークンを使用しないように移行し、悪意のあるアーティファクトを全ての配布チャネルから削除しました。また、商用プラットフォームとオープンソース環境が完全に分離されているため、攻撃は商用顧客には影響を与えませんでした。

今後は、GitHub Actionsを変更不可能なコミットSHAハッシュにピン留めすることで、パイプラインを強化することが推奨されます。

元記事: https://gbhackers.com/aqua-securitys-trivy-scanner-hit-by-supply-chain-attack/