/
凭证残留利用 关键字列表
Trivy漏洞扫描器遭供应链攻击,大量版本被植入恶意代码
Aqua Security旗下广泛使用的开源漏洞扫描工具Trivy近期遭遇供应链攻击,几乎所有版本均受波及。攻击者利用此前泄露的凭证,通过强制推送方式篡改75个trivy-action标签,植入恶意代码。该恶意程序会扫描开发管道中的GitHub令牌、云凭证、SSH密钥等敏感信息,加密后发送至攻击者服务器。目前仅@0.35.0版本未受影响,受影响用户应立即轮换所有管道密钥。
白皮书
京公网安备 11010802021500号
