👀 Trivy взломали снова. И на этот раз — серьёзно Пока мы отдыхали, стало известно: злоумышленники скомпрометировали официальный GitHub Action aquasecurity/trivy-action — тот самый, которым все сканируют уязвимости в CI/CD. ➖ Что произошло Атакующие форс-пушнули 76 из 77 тегов версий в репозитории. Если ваш workflow ссылается на action по тегу типа @0.34.2, @0.33.0 или @0.18.0 — вы запускаете вредоносный код. Единственный нетронутый тег — @0.35.0. Малварь выполняется ДО запуска настоящего Trivy, поэтому визуально всё выглядит штатно. ➖ Что делает малварь Дампит память раннера, ворует SSH-ключи, AWS/GCP/Azure credentials, Kubernetes service account токены. Классический инфостилер для CI/CD окружений. ➖ Масштаб Более 10 000 workflow-файлов на GitHub ссылаются на этот action. Потенциально — тысячи проектов под ударом. ➖ Что делать прямо сейчас 1. Проверьте, не используете ли вы aquasecurity/trivy-action по тегу (не по SHA) 2. Если да — считайте CI/CD секреты скомпрометированными. Ротируйте AWS ключи, SSH, K8s токены 3. Перейдите на пиннинг по commit SHA вместо тегов — теги можно перезаписать 4. Пересмотрите permissions в GitHub Actions — используйте принцип минимальных привилегий ➖ Главный урок Это второй инцидент с Trivy за месяц (первый был с VS Code расширением). Пиннинг по версии не защищает — только полный commit SHA. И да: инструмент безопасности сам стал вектором атаки. @DevOpsKaz 😛