--- title: "Trivy供应链攻击技术分析:从依赖图漏洞到凭证批量窃取" route: "/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/" canonical_path: "/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/" canonical_url: "https://blog2.hotdry.top/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/" markdown_path: "/agent/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/index.md" markdown_url: "https://blog2.hotdry.top/agent/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/index.md" agent_public_path: "/agent/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/" agent_public_url: "https://blog2.hotdry.top/agent/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/" kind: "research" generated_at: "2026-04-10T19:18:13.998Z" version: "1" slug: "2026/04/10/trivy-supply-chain-attack-credential-harvesting" date: "2026-04-10T08:26:01+08:00" category: "security" year: "2026" month: "04" day: "10" --- # Trivy供应链攻击技术分析:从依赖图漏洞到凭证批量窃取 > 深入剖析2026年3月Trivy供应链攻击的五个阶段,揭示攻击者如何利用GitHub Actions标签投毒和内存读取技术从secrets manager批量窃取凭证。 ## 元数据 - Canonical: /posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/ - Agent Snapshot: /agent/posts/2026/04/10/trivy-supply-chain-attack-credential-harvesting/index.md - 发布时间: 2026-04-10T08:26:01+08:00 - 分类: [security](/agent/categories/security/index.md) - 站点: https://blog2.hotdry.top ## 正文 2026年3月19日,一起震惊安全社区的事件再次验证了供应链攻击的致命威胁。Aqua Security旗下的知名开源漏洞扫描工具Trivy遭到入侵,攻击者不仅成功窃取了大量CI/CD环境中的敏感凭证,还在开发者终端部署了持久化后门,并实现了自传播的npm供应链蠕虫。这起事件被安全研究人员命名为「Trivy供应链攻击」,其攻击链的复杂程度和破坏力堪称近年来供应链安全领域的教科书级案例。 ## 攻击背景与初始渗透 Trivy作为Aqua Security维护的开源漏洞扫描工具,在全球范围内拥有数百万次下载量,广泛应用于CI/CD管道的安全检测环节。攻击者TeamPCP(代号包括DeadCatx3、PCPcat、ShellForce、CipherForce)采用了典型的「初始渗透—权限维持—横向移动—数据窃取」五阶段攻击链。值得注意的是,这起事件并非凭空出现,而是建立在一次前期渗透的基础之上。 在主攻击发生前三周,一个名为hackerbot-claw的自动化攻击程序利用了Trivy项目GitHub Actions工作流中pull_request_target的误配置,成功窃取了维护者的Personal Access Token。这次初始渗透虽然被Aqua Security的安全团队发现并进行了凭证轮换,但轮换工作存在疏漏——部分长期访问凭证并未被彻底撤销。攻击者正是利用了这一安全缺口,在为期三周的潜伏期内完成了后续攻击的准备和实施工作。 这种「不完全轮换」的安全失误在真实攻击场景中极为常见。许多组织在发现凭证泄露后,往往只轮换最明显的API密钥或访问令牌,却忽视了那些通过OAuth授予、跨服务共享或硬编码在CI/CD环境变量中的长期凭证。安全团队应在每次凭证泄露事件后建立完整的凭证清单,并执行「全部轮换」策略,而非仅针对已知泄露的凭证进行更换。 ## 标签投毒与恶意代码分发 攻击链的第二阶段展现了供应链攻击的核心特征——利用开发者对上游工具的信任进行恶意代码分发。攻击者使用窃取的凭证成功入侵了aqua-bot服务账户,并开始冒充合法的项目维护者进行提交操作。他们向Trivy仓库推送了经过篡改的v0.69.4版本标签,该标签触发了自动化的发布流水线,将植入后门的二进制文件分发至GitHub Releases、Docker Hub、GHCR以及Amazon ECR等多个分发渠道。 更具破坏性的是,攻击者对aquasecurity/trivy-action仓库中的75个版本标签进行了force-push操作,将这些标签指向包含恶意代码的提交。由于GitHub Actions工作流通常使用类似`uses: aquasecurity/trivy-action@v0.28.0`的版本标签引用方式,这意味着任何使用这些标签的工作流都会在运行时自动执行攻击者植入的恶意代码,而无需修改工作流配置文件本身。攻击者甚至巧妙地保留了原始作者的元数据和提交时间戳,使恶意提交在Git历史中看起来与正常的维护者提交无异。 这种标签投毒技术的危险性在于其「不可见性」——开发者并未主动修改工作流文件,CI/CD配置表面上与原来完全一致,但运行时的实际行为已经发生了根本变化。安全团队应强制要求所有GitHub Actions引用完整的安全哈希值而非可变标签,例如将`uses: action@v1.0`改为`uses: action@a1b2c3d4e5f6...`的形式。Palo Alto Networks的安全分析指出,如果Trivy的下游用户事先采取了这一最佳实践,这次攻击的传播范围将大幅缩小。 ## 内存级凭证窃取技术 攻击链的第三阶段是整个事件中技术含量最高、危害最大的环节。恶意GitHub Action执行后,攻击代码并未简单地搜索环境变量或日志文件,而是直接读取GitHub Actions Runner进程的内存空间(通过`/proc//mem`接口)。这种技术的关键优势在于:它绕过了所有基于日志脱敏或环境变量过滤的安全防护措施。 具体而言,攻击代码从Runner内存中提取了多种类型的敏感凭证,包括SSH私钥、主要云服务商的访问密钥(AWS、GCP、Azure)、Kubernetes服务账户令牌、Docker注册表凭据、数据库连接密码、TLS私钥以及加密货币钱包文件等。这种「全谱式」凭证收集策略意味着攻击者能够在单一攻击事件中获得目标环境中最有价值的全部访问凭证。 窃取的凭证数据经过双重加密处理:首先使用AES-256-CBC算法进行对称加密,随后使用RSA-4096非对称加密算法对密钥进行包装。这种两层加密结构使得网络层面的流量检测工具无法识别攻击载荷的实质内容——网络监控设备只能看到发往外部服务器的加密数据流,而无法解密并分析其内容。攻击者还将数据发送至一个仿冒域名`scan.aquasecurtiy[.]org`(故意拼写错误以模仿aquasecurity.org),作为主要外传通道;同时设置了备用方案——利用窃取的GitHub Personal Access Token在受害者账户下创建名为`tpcp-docs`的公开仓库,用于暂存和转移窃取的凭证数据。 从防御角度看,这种内存级攻击暴露了CI/CD环境的一个根本性安全盲点:运行时的进程内存数据往往被视为可信的,因为它们来自于组织自身启动的合法进程。安全团队应在CI/CD Runner上实施进程内存访问限制策略,禁用或审计对`/proc/`敏感路径的读取操作;同时对出站网络连接实施严格的域名白名单和DNS解析验证。 ## 终端持久化与区块链C2 攻击的第四阶段将威胁从CI/CD管道延伸到了开发者的工作站。当带有后门的Trivy二进制文件在开发者机器上运行时,它会部署一个伪装成系统监控服务的systemd守护进程(文件名为sysmon.py,但实际上与PostgreSQL监控无关)。该守护进程每50分钟主动连接一个Internet Computer(ICP)区块链canister,获取指令并进行命令与控制通信。 使用区块链作为C2基础设施是近年来攻击者的创新尝试。相比传统的域名型C2服务器,区块链canister具有更高的弹性和抗摧毁性——传统的C2域名可以被注册商封禁、IP地址可以被ISP加入黑名单,但区块链 canister 的地址嵌入在智能合约中,理论上只有在区块链协议层面进行干预才能将其移除。这种去中心化特性使得传统的C2 takedown手段对这类攻击几乎无效。 安全团队应在开发者工作站上部署端点检测与响应(EDR)解决方案,重点监控非标准父进程创建systemd服务的行为、周期性外部网络连接模式以及从互联网下载并执行的动态行为。开发者的终端安全策略不应仅关注传统的恶意软件特征,还应具备对异常进程树和可疑网络行为的检测能力。 ## 自传播供应链蠕虫 攻击的第五阶段是CanisterWorm蠕虫的实现。攻击者利用前期窃取的凭证突破了npm生态系统的多个包作用域,在极短时间内(少于60秒) compromis 了47个以上的npm包。这些被植入恶意代码的包随后在postinstall钩子中加入了凭证窃取和自传播逻辑,使得任何安装受影响包的开发者或CI/CD管道都可能在不知情的情况下成为攻击传播的载体。 这种自传播机制将供应链攻击的破坏力推向了新高度——传统供应链攻击通常是一次性的「供应链投毒」,而CanisterWorm实现了攻击载荷的指数级扩散。28个包在不足一分钟内被攻陷的事实表明,攻击者已经建立了高度自动化的攻击流程,能够在获取凭证后快速定位并入侵高价值的npm包。 针对此类风险,安全团队应在CI/CD管道中强制使用`npm ci --ignore-scripts`命令,阻止未知包的postinstall钩子执行;同时实施npm包的签名验证和完整性检查,确保安装的包与其声明的校验和一致。 ## 检测与防御建议 综合这起事件的经验教训,安全团队应在以下方面立即采取行动:首先,验证当前使用的Trivy版本是否安全,官方建议使用v0.69.3版本,同时确认trivy-action和setup-trivy的版本分别为v0.35.0和v0.2.6。其次,对所有GitHub Actions进行审计,将版本标签引用全部替换为完整的SHA哈希值。第三,在组织内搜索名为`tpcp-docs`的GitHub仓库——如果发现此类仓库,表明凭证可能已经外泄。第四,在网络边界阻断对`scan.aquasecurtiy[.]org`域名和`45.148.10.212`IP地址的访问。第五,检查开发者工作站上是否存在名为sysmon.py或pgmon的systemd服务。 从更宏观的视角来看,Trivy供应链攻击代表了现代软件供应链威胁的进化方向——攻击者不再满足于单一环节的入侵,而是追求从代码仓库到CI/CD、从构建系统到开发者终端的完整攻击路径。安全团队需要建立覆盖软件生命全周期的供应链安全治理体系,从依赖项管理、工作流配置、凭证生命周期、终端行为监控等多个维度构建纵深防御。 --- **参考资料** - Palo Alto Networks: [Breaking Down the Trivy Supply Chain Attack](https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/) - ARMO: [The Trivy Supply Chain Attacks Explained](https://www.armosec.io/blog/trivy-supply-chain-attack-ci-cd-security-lessons/) ## 同分类近期文章 ### [Rust 供应链攻击防御策略:从真实事件到可落地参数](/agent/posts/2026/04/11/rust-crates-supply-chain-security-strategies/index.md) - 日期: 2026-04-11T03:05:28+08:00 - 分类: [security](/agent/categories/security/index.md) - 摘要: 分析 crates.io 近年供应链攻击真实案例,提取 Cargo.lock 版本固定、CI 验证、审计工具配置等可落地防御参数。 ### [WireGuard Windows 内核驱动签名困境:微软 Partner Center 账户停用技术分析](/agent/posts/2026/04/11/wireguard-windows-kernel-driver-code-signing-microsoft-partner-center/index.md) - 日期: 2026-04-11T00:25:59+08:00 - 分类: [security](/agent/categories/security/index.md) - 摘要: 深度解析 WireGuard Windows 版面临的微软代码签名停用问题,涵盖内核驱动签名机制、EV 证书要求与兼容性解决方案。 ### [CPU-Z与HWMonitor供应链沦陷:恶意二进制分发机制深度分析](/agent/posts/2026/04/10/cpuz-hwmonitor-supply-chain-malware-analysis/index.md) - 日期: 2026-04-10T23:25:52+08:00 - 分类: [security](/agent/categories/security/index.md) - 摘要: 硬件监控工具CPU-Z与HWMonitor遭遇供应链攻击,分析恶意二进制分发机制与用户系统渗透路径,提供可落地的检测与防御参数。 ### [CPU-Z/HWMonitor 供应链投毒事件工程复盘:签名校验失效与二进制审计自动化实践](/agent/posts/2026/04/10/supply-chain-malware-cpuid-binary-audit/index.md) - 日期: 2026-04-10T22:50:31+08:00 - 分类: [security](/agent/categories/security/index.md) - 摘要: 深度剖析 CPUID 供应链恶意软件事件的工程根因,聚焦签名校验局限、依赖链渗透路径与二进制审计自动化落地方案。 ### [FBI如何通过iOS通知缓存提取已删除Signal消息:技术原理与防护参数](/agent/posts/2026/04/10/fbi-ios-notification-signal-message-recovery/index.md) - 日期: 2026-04-10T20:01:48+08:00 - 分类: [security](/agent/categories/security/index.md) - 摘要: 分析FBI利用iOS通知系统缓存提取已删除Signal消息的技术机制,并给出可操作的隐私防护配置参数。