Aanvallers besmetten vulnerability scanner Trivy met infostealer-malware

Aanvallers plaatsten infostealer-malware in Trivy via gestolen inloggegevens, waardoor diverse credentials en sleutels werden buitgemaakt.

Aanvallers hebben de open source vulnerability scanner Trivy geïnfecteerd met infostealer-malware door gebruik te maken van gestolen inloggegevens. Hierdoor konden zij wachtwoorden, sleutels en andere gevoelige gegevens van gebruikers stelen. De ontwikkelaars van Trivy waarschuwen hiervoor in een security advisory.

Trivy, ontwikkeld door Aqua Security, is een tool die systemen en omgevingen scant op kwetsbaarheden en misconfiguraties. Op 19 maart werd versie 0.69.4 uitgebracht, die malware installeerde op de systemen van gebruikers. Ook de trivy-action en setup-trivy releases bleken gecompromitteerd. Volgens een analyse van securitybedrijf Wiz wisten de aanvallers naast inloggegevens voor de Trivy-ontwikkelomgeving ook GPG-keys en credentials voor Docker Hub, X en Slack van Aqua Security te bemachtigen.

Aqua Security stelt dat het incident het gevolg is van een supplychain-aanval eind februari. Na de melding op 1 maart werden inloggegevens en credentials gewijzigd, maar niet alle credentials werden tegelijk ingetrokken. Hierdoor konden de aanvallers tijdens het zogenoemde 'rotation window' geldige tokens gebruiken om nieuwe secrets te stelen en toegang te behouden, wat leidde tot het uitbrengen van besmette versies.

Securitybedrijf Socket meldde eerder deze maand dat ook de Aqua Trivy VS Code extensie via OpenVSX met malware was besmet. De besmette Trivy-versies werden verspreid via de reguliere distributiekanalen van Aqua Security, waaronder GHCR, ECR Public, Docker Hub, deb/rpm packages en get.trivy.dev. De malware functioneerde onopvallend en verzamelde op de achtergrond diverse gevoelige gegevens, zoals SSH private keys, cloud credentials van AWS, Google Cloud en Azure, Kubernetes-configuraties, database-credentials, CI/CD-configuraties, TLS/SSL private keys, API keys, cryptowallet-keys en systeemgegevens zoals /etc/passwd en shell histories, aldus CrowdStrike.

Organisaties die gebruikmaakten van de besmette versies worden dringend geadviseerd alle secrets die via getroffen pipelines toegankelijk waren direct te vervangen om verdere risico’s te beperken.