Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert

Ein Angreifer hat Malware in den Schwachstellenscanner Trivy sowie über 140 NPM-Pakete eingeschleust. Er sammelt Daten und richtet Backdoors ein.
/ Marc Stöckel
Kommentare undefined News folgen (öffnet im neuen Fenster)
Ein Angreifer hat Schadcode in mehrere Softwareprojekte eingeschleust. (Bild: pexels.com/Markus Spiske)
Ein Angreifer hat Schadcode in mehrere Softwareprojekte eingeschleust. Bild: pexels.com/Markus Spiske
Inhalt
  1. Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert
  2. Vertrauliche Daten im Visier

Sicherheitsforscher haben wieder einmal eine Schadsoftware entdeckt, die sich seit einigen Tagen im NPM-Ökosystem ausbreitet. Aufgefallen ist die Angriffskampagne zuerst bei dem von Aqua Security entwickelten Schwachstellenscanner Trivy. Forscher haben mittlerweile über 140 NPM-Pakete identifiziert, die ebenfalls von dem gleichen Angreifer kompromittiert worden sein sollen.

Die Kompromittierung von Trivy erfolgte laut einem Blogbeitrag von Wiz(öffnet im neuen Fenster) am 19. März. Ein Angreifer, der sich selbst TeamPCP nennt, schleuste demnach eine Infostealer-Malware in das Projekt ein, die unter anderem Zugangsdaten sammelt und ausleitet. Als kompromittiert gelten(öffnet im neuen Fenster) die Trivy-Version 0.69.4 sowie mehrere Versionen der Github-Actions trivy-action und setup-trivy.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Aqua Security empfiehlt Nutzern in einem Blogbeitrag(öffnet im neuen Fenster) , auf sichere Versionen des Tools zu wechseln. Bei der Trivy-Binary gelten die Versionen 0.69.2 und 0.69.3 als sicher, bei trivy-action die Version 0.35.0 und bei setup-trivy die Version 0.2.6. Wer eine der kompromittierten Versionen im Einsatz hatte, sollte zudem dringend alle Anmeldedaten rotieren, die auf seinen Systemen zugänglich sind.

Auch Docker-Images betroffen

Darüber hinaus entdeckten Sicherheitsforscher von Socket(öffnet im neuen Fenster) kürzlich Docker-Images auf Docker Hub, die ebenfalls kompromittierte Trivy-Versionen mit den Versionsnummern 0.69.5 und 0.69.6 enthalten, zu denen jedoch keine passenden Github-Releases vorliegen. Auch dort sollten Nutzer darauf achten, dass die in den verwendeten Images enthaltene Trivy-Binary höchstens die Versionsnummer 0.69.3 trägt.

Aqua Security führt die Kompromittierung seines Schwachstellenscanners auf einen Sicherheitsvorfall zurück, der Anfang März bekannt wurde. Dabei hatte der Angreifer eine Fehlkonfiguration in der Github-Actions-Umgebung von Trivy ausgenutzt, um an ein Token mit weitreichenden Zugriffsrechten zu gelangen.

"Das Trivy-Team gab den Vorfall bekannt und führte eine Rotation der Anmeldedaten durch" , erklärt das Unternehmen. Nachfolgende Untersuchungen hätten jedoch ergeben, dass die Rotation unvollständig war, so dass der Angreifer weiterhin Zugriff auf das Projekt hatte und seinen Schadcode einschleusen konnte. Erstmals auf den Angriff hingewiesen hatte der Sicherheitsforscher Paul McCarty auf Linkedin(öffnet im neuen Fenster) .

  1. Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert
  2. Vertrauliche Daten im Visier
Zur Startseite Kommentare

Relevante Themen

SoftwareSoftwareentwicklungSecurityCybercrimeNPMDatensicherheitGit