Атака Trivy распространяет инфостилер через Docker, вызывает червя и уничтожитель Kubernetes

Ужас — крупная атака на цепочку поставок поразила Trivy 22 марта, распространяя вредоносные образы Docker, которые крадут учетные данные и распространяются как лесной пожар. Это не просто утечка данных; это настоящий кошмар в облаке с возможностями червя и уничтожителями Kubernetes.

Атака использовала скомпрометированные образы Docker для развертывания инфостилеров, выкачивающих конфиденциальные учетные данные из облачных сред. Попав внутрь, вредоносное ПО действует как червь, самораспространяясь по сетям и даже запуская разрушительные уничтожители в кластерах Kubernetes.

Ключевые детали: Вредоносные образы распространялись через официальные каналы Trivy, что делало их легитимными. Злоумышленники использовали это, чтобы обойти проверки безопасности и внедрить вредоносное ПО, которое эксфильтрирует данные на удаленные серверы. Компонент червя сканирует уязвимые контейнеры и узлы Kubernetes, распространяясь латерально и развертывая уничтожители, которые могут стереть целые кластеры.

Это суровое напоминание, что даже доверенные инструменты с открытым исходным кодом, такие как Trivy, не защищены от компрометации. Атака подчеркивает критические уязвимости в безопасности контейнеров и каскадные эффекты нарушений цепочки поставок в современных облачных настройках.

Если вы используете Trivy или аналогичные инструменты сканирования контейнеров, проверьте свои образы как можно скорее. Проверьте хэши, проаудируйте свои конвейеры и предполагайте нарушение — потому что в этой игре один скомпрометированный образ может разрушить всю вашу инфраструктуру.