大家常用來掃描漏洞的資安保全「Trivy」出事了!原本是用來幫程式把關安全的工具,沒想到最近竟然被駭客組織 TeamPCP 掉包。駭客潛入了大後方的自動化工廠,在工具裡面偷裝了竊資軟體。這下尷尬了,原本請來抓鬼的保全,現在反而變成帶路進家門的小偷。
什麼是供應鏈攻擊?
這次事件就是典型的「供應鏈攻擊」。想像一下,你想買瓶飲料,駭客不是跑去你家偷東西,而是直接潛入飲料工廠,在每個瓶蓋裡裝追蹤器。當工程師在跑自動化流程(CI/CD)執行安全檢查時,系統以為自己在掃毒,其實是在下載駭客準備好的病毒。因為大家通常對知名工具完全信任,這種攻擊防不勝防。
玩「大家來找碴」?小心網域混淆陷阱
駭客這次用了很陰險的手法,叫做「網域混淆 (Typosquatting)」。他們註冊了一個超像官方的網址:scan.aquasecurtiy.org。
發現亮點了嗎?官方正確拼法是 `security`,駭客故意把最後兩個字母換位變成 `securtiy`。這就像把 Google 寫成 G00gle 一樣,利用人類視覺死角,如果不仔細看,根本不會發現程式正連往駭客的伺服器。
受影響範圍與自保清單
目前確定中招的是 0.69.4 版本。如果你的開發環境剛好用到這個版本,你的帳號密碼或雲端金鑰(Secret Keys)可能已經被傳送給駭客了。
為了保險起見,更換所有可能外洩的密碼與金鑰。
懶人包:這件事背後的資安術語
● 供應鏈攻擊 (Supply Chain Attack):不直接打你,而是去毒化你信任的工具供應商,就像在自來水廠放毒,效率更高、更難防護。
● CI/CD 與 GitHub Actions:這是軟體的自動化生產線。這次駭客就是入侵了這條生產線上的「機器人助手」,讓它在幫你檢查安全的同時,順手牽羊偷走資料。
● 惡意酬載 (Payload):如果病毒是一枚飛彈,Payload 就是裡面的炸藥。外殼看起來很正常,但一旦觸發,裡面的炸藥就會開始偷密碼、鎖檔案。
● 後門 (Backdoor):這是在軟體裡留下的秘密通道。一旦被植入後門,就算你的主機防火牆蓋得再高,駭客還是能繞過帳密檢查,隨時在你的伺服器進進出出。
資安真的沒有絕對的信任,連保全工具都要檢查再檢查啊!
很多厲害的小偷的想法很有創意, 不知道資安領域裡人為的弱點, 未來 AI 是否有辦法自動檢測與防範.
