Хакеры скомпрометировали практически все версии широко используемого сканера уязвимостей Trivy от компании Aqua Security в ходе продолжающейся атаки на цепочку поставок, которая может иметь серьезные последствия для разработчиков и организаций, использующих этот инструмент. Поддерживающий Trivy Итай Шакури подтвердил факт компрометации в пятницу, после появления слухов и обсуждения инцидента в теме, которая была позже удалена злоумышленниками. Атака началась в ранние часы четверга. В результате злоумышленники, используя украденные учетные данные, смогли принудительно обновить все, кроме одного, теги trivy-action и семь тегов setup-trivy, чтобы использовать вредоносные зависимости.

Принудительное обновление — это команда в системе управления версиями git, которая позволяет обойти стандартный механизм безопасности, защищающий от перезаписи существующих коммитов. Trivy — это сканер уязвимостей, который разработчики используют для обнаружения уязвимостей и случайно закодированных секретов аутентификации в конвейерах, предназначенных для разработки и развертывания обновлений программного обеспечения. Этот сканер имеет 33 200 звезд на платформе GitHub, что указывает на его широкое использование.

Источник

Новые
Microsoft сокращает часть избыточных функций Copilot AI в Windows
Обратно к списку
Старее Microsoft продолжает настаивать на своей глубокой приверженности качеству Windows 11

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *