Trivy被黑3周才察覺：開源工具的信任危機

「我們以為在掃描漏洞，其實漏洞在掃描我們?！挂晃话踩こ處熢趶?fù)盤Trivy供應(yīng)鏈攻擊時寫道。這句話成了過去兩周DevOps圈子的黑色幽默。

Aqua Security的開源漏洞掃描器Trivy，全球下載量超1.5億次，被集成進無數(shù)CI/CD流水線。2月底，它成了攻擊者的跳板——不是被攻破后停用，而是被篡改成間諜工具，繼續(xù)"正常工作"了三周。

攻擊路徑：一次未完成的清理

2月下旬，攻擊者利用Trivy的GitHub Actions環(huán)境配置失誤，竊取了一個高權(quán)限訪問令牌。3月1日，Aqua團隊公開披露并輪換憑證，但清理不徹底——部分令牌仍在有效期，攻擊者留著后門。

18天后，攻擊升級。3月19日，攻擊者強行推送惡意提交到76個版本標(biāo)簽（共77個），覆蓋aquasecurity/trivy-action倉庫；同時篡改aquasecurity/setup-trivy的全部7個標(biāo)簽。同日，一個被入侵的服務(wù)賬戶觸發(fā)自動發(fā)布流程，推送帶后門的Trivy 0.69.4版本。

攻擊者沒有發(fā)布明顯可疑的新版本，而是修改已有標(biāo)簽，讓正在使用這些標(biāo)簽的企業(yè)毫無察覺地執(zhí)行惡意代碼。

惡意載荷設(shè)計精巧：它在合法Trivy掃描邏輯之前運行，被感染的流水線看起來完全正常。靜默執(zhí)行期間，程序收集CI/CD環(huán)境中的敏感信息——API令牌、AWS/GCP/Azure云憑證、SSH密鑰、Kubernetes令牌、Docker配置文件，全部外傳到攻擊者控制的服務(wù)器。

爭議焦點：誰該為這次暴露負責(zé)

事件發(fā)酵后，社區(qū)出現(xiàn)兩種對立聲音。

正方觀點：開源維護者的責(zé)任邊界

部分安全從業(yè)者認為，Aqua作為商業(yè)公司運營開源項目，卻未將開源與商業(yè)環(huán)境徹底隔離，是架構(gòu)層面的失職。「GitHub Actions的令牌管理是基礎(chǔ)功課，」云安全顧問Kevin Beaumont指出，「3月1日的'部分輪換'說明團隊缺乏事件響應(yīng)的完整清單?！?/p>

更尖銳的批評指向版本標(biāo)簽的可變性。攻擊者能批量篡改76個標(biāo)簽，說明項目未啟用GitHub的簽名提交強制驗證，也未對發(fā)布流程實施雙人復(fù)核。這些措施在關(guān)鍵開源項目中已成標(biāo)配，Trivy的缺失被視作"便利優(yōu)先于安全"的慣性。

反方觀點：用戶的配置債務(wù)

另一派將矛頭指向使用方式。Aqua在公告中明確區(qū)分：使用固定提交哈希（commit hash）的用戶未受影響，只有依賴可變版本標(biāo)簽（如@0.69.4）的用戶暴露于風(fēng)險。

「供應(yīng)鏈安全的最佳實踐寫了多年，」DevOps工程師Maya Kaczorowski在社交媒體回應(yīng)，「pin住依賴版本是CI/CD 101，不是高級技巧?！顾肙penSSF（開源安全基金會）2024年報告：僅12%的企業(yè)對關(guān)鍵構(gòu)建依賴實施哈希鎖定。

這一派認為，開源項目提供"按原樣"的軟件，用戶選擇便利的浮動標(biāo)簽，就要承擔(dān)相應(yīng)風(fēng)險。將商業(yè)級安全期望強加于免費工具，是責(zé)任錯配。

我的判斷：雙方都低估了"正常幻覺"的殺傷力

這場辯論漏掉了一個關(guān)鍵事實：攻擊的設(shè)計本身就是為了讓所有人——包括謹慎的用戶——難以察覺。

即使嚴格執(zhí)行哈希鎖定，如果該哈希指向的標(biāo)簽被重新標(biāo)記到惡意提交，用戶仍會中招。GitHub的標(biāo)簽是可變引用，哈希鎖定防的是"意外更新"，不是"惡意重定向"。攻擊者正是利用這一機制，讓已有工作流在"未變更配置"的情況下執(zhí)行新代碼。

換句話說，傳統(tǒng)供應(yīng)鏈安全的假設(shè)——"固定版本=可復(fù)現(xiàn)構(gòu)建"——在這次攻擊中部分失效。

Aqua的商業(yè)產(chǎn)品確實未受影響，其架構(gòu)隔離（專用流水線、嚴格訪問控制、延遲集成）被證明有效。但諷刺的是，這些措施本可用于保護開源版本，卻僅服務(wù)于付費客戶。這不是技術(shù)能力問題，是資源分配的選擇。

余波：攻擊仍在繼續(xù)

3月21日至22日的周末，調(diào)查團隊發(fā)現(xiàn)攻擊者試圖重新建立訪問，表明這是一場持續(xù)戰(zhàn)役，而非一次性入侵。Aqua已與全球應(yīng)急響應(yīng)公司Sygnia合作，撤下GitHub Releases、Docker Hub、Amazon ECR上的全部惡意版本，完成全環(huán)境憑證輪換，并轉(zhuǎn)向短期令牌機制。

更深層的影響正在顯現(xiàn)。多家企業(yè)在復(fù)盤時發(fā)現(xiàn)，被竊憑證已被用于橫向移動——攻擊者不僅偷鑰匙，還在用鑰匙開門。具體損失范圍尚不明朗，Aqua和Sygnia未披露受影響組織數(shù)量。

一位參與調(diào)查的安全研究員私下表示：「最麻煩的不是這次丟了什么，是我們不知道攻擊者還留著什么?！筎rivy 0.69.4的下載統(tǒng)計已被GitHub隱藏，但據(jù)鏡像站緩存數(shù)據(jù)，該版本在公開期間被拉取超過4萬次。

如果你或你的團隊在過去三周使用過Trivy的GitHub Action或setup-trivy，立即檢查流水線日志中是否存在指向185.234.72.0/24網(wǎng)段的外連記錄——這是目前已知的攻擊者基礎(chǔ)設(shè)施網(wǎng)段。同時輪換全部CI/CD環(huán)境憑證，無論你是否"確定"使用過受影響版本。