🌐 Сапожник без сапог: как сканер уязвимостей стал добычей Одна из самых показательных историй последних дней — атака на Trivy, популярный сканер уязвимостей от Aqua Security, которым пользуются DevOps-команды по всему миру. Злоумышленники провели атаку на цепочку поставок и скомпрометировали практически все версии инструмента. Зловред прочёсывал CI/CD-пайплайны и рабочие окружения в поисках GitHub-токенов, облачных учётных данных, SSH-ключей и Kubernetes-токенов. Всё найденное архивировалось, шифровалось и отправлялось на сервер атакующих. Особенно неприятна механика атаки: злоумышленники не добавляли новые коммиты и не выпускали релизы. Вместо этого они использовали украденные учётные данные, чтобы привязать уже существующие теги к вредоносным коммитам. 🗣 А вы дальше применяйте OpenSource-решения — они же проверены сообществом. В такие моменты начинаешь задумываться о том, что сертификация ФСТЭК не совсем бесполезная идея.