Aanvallers hebben open source vulnerability scanner Trivy door middel van gestolen inloggegevens voorzien van infostealer-malware, waarmee wachtwoorden en andere inloggegevens bij gebruikers konden worden gestolen. Daarvoor waarschuwen de ontwikkelaars in een security advisory. Trivy is een door securitybedrijf Aqua Security ontwikkelde tool waarmee ontwikkelaars en organisaties systemen en omgevingen op kwetsbaarheden en misconfiguraties kunnen scannen.

Op 19 maart verscheen Trivy versie 0.69.4 die infostealer-malware op de systemen van gebruikers installeerde. Ook trivy-action en setup-trivy releases bleken gecompromitteerd te zijn. Naast inloggegevens voor de ontwikkelomgeving van Trivy wisten de aanvallers ook GPG-keys en credentials voor Docker Hub, X en Slack van Aqua Security te stelen, aldus securitybedrijf Wiz in een analyse van het incident.

Volgens Aqua Security volgt het incident uit een supplychain-aanval die zich eind februari voordeed. Na de aankondiging hiervan op 1 maart wijzigde Aqua Security inloggegevens en andere credentials, maar niet alle credentials werden gelijktijdig ingetrokken. De aanvallers hebben mogelijk een geldig token gebruikt om de nieuwe secrets tijdens het 'rotation window', dat een aantal dagen duurde, te stelen. Zodoende bleven de aanvallers toegang tot de omgeving van Aqua Security behouden en kon vervolgens de besmette versies uitbrengen. Securitybedrijf Socket meldt dat eerder deze maand de Aqua Trivy VS Code extensie, die wordt aangeboden via OpenVSX, van malware was voorzien.

De besmette versies van Trivy werden verspreid via de normale distributiekanalen van Aqua Security, waaronder GHCR, ECR Public, Docker Hub (zowel 0.69.4 als latest tags), deb/rpm packages en get.trivy.dev. Om gebruikers niets te laten vermoeden functioneerden de besmette versies gewoon, maar maakten in de achtergrond allerlei gegevens buit en stuurden die terug naar de aanvallers.

Het ging onder andere om SSH private keys en configuraties, cloud credentials van Amazon Web Services, Google Cloud en Microsoft Azure, Kubernetes configuraties en service account tokens, Docker registry credentials, MySQL, PostgreSQL, MongoDB, Redis database credentials, GitLab CI, Travis, Jenkins en Drone CI/CD configuraties, 'infrastructure-as-code secrets' van Terraform state/vars, Ansible en Helm, TLS/SSL private keys, .env files en API keys, cryptowallet-keys en system files, zoals /etc/passwd, /etc/shadow en shell histories, aldus securitybedrijf CrowdStrike. Organisaties die van de besmette versies gebruik hebben gemaakt worden opgeroepen om alle secrets die vanaf getroffen pipelines toegankelijk waren meteen te vervangen.