开源漏洞扫描工具Trivy近期发生供应链攻击事件，黑客组织TeamPCP入侵其GitHub Actions流程，并植入窃密软件，可能影响使用该工具进行自动化扫描的开发与企业环境。

Trivy由安全公司Aqua Security打造，是广泛使用的容器与系统漏洞扫描工具，常被集成到CI/CD流程中。此次事件中，攻击者成功篡改该公司的GitHub Actions工作流程，当开发者执行扫描任务时，便会下载并执行恶意程序。

最早察觉此事并发出警告的是安全研究员Paul McCarty，他发现0.69.4版Trivy被植入了后门，无论是容器镜像还是GitHub项目中的文件，都遭到渗透。若用户在CI环境中使用该工具，就可能受到影响。McCarty表示，Homebrew版本未受波及。

恶意程序的有效载荷为二进制文件，Paul McCarty在开源安全社区Open Source Malware发布的博客文章中指出，攻击者自称是TeamPCP Cloud stealer，该恶意程序会尝试从恶意域名scan.aquasecurtiy.org拉取4个Go语言编写的恶意文件，其中包含第二阶段的有效载荷（域名故意拼写为aquasecurtiy，正确应为scan.aquasecurity.org）。

该恶意程序主要功能为窃取敏感信息，包括环境变量、API密钥与访问令牌（Token）等。由于CI/CD环境通常包含高权限凭证，一旦泄露，攻击者可进一步入侵云资源或源代码仓库。

在攻击手法上，黑客利用GitHub Actions的自动执行特性，将恶意程序嵌入既有流程，使攻击在后台完成，用户难以察觉。这类攻击属于典型的供应链攻击，影响范围可能随工具使用规模扩大。

后续安全公司Socket、Wiz和Aikido披露了此次事件的影响规模。Socket指出，根据其初步调查，此次事故的影响范围不仅限于0.69.4版，因为攻击者强制推送了aquasecurity/trivy-action中75个版本（共76个发布版本）的标签。由于GitHub Action官方使用Trivy扫描CI/CD流水线，超过一万个工作流文件引用了这些标签，影响范围可能十分广泛。这些标签被用于分发窃密软件，仅@0.35.0版本未受影响。

值得注意的是，攻击者并未直接修改Trivy核心代码，而是锁定CI/CD流程的基础设施环节，显示供应链攻击已从软件包本身延伸至开发流程底层。Socket指出，攻击者在窃取Trivy凭证后入侵GitHub Actions，但并未像其他攻击者那样上传有问题的新版本或推送新分支，而是强制覆盖了75个现有版本的标签，指向恶意提交内容。此举是为了避免发布新版本触发警报，使Trivy开发团队难以察觉异常。Socket提到，仅有少数迹象能揭穿攻击者的伎俩。

Wiz指出Trivy多个组件遭到入侵，包括扫描工具核心程序及其GitHub Action（trivy、trivy-action、setup-trivy）。黑客在窃取开发人员凭证后，通过Cloudflare隧道将数据传送到C2服务器。随后，攻击者还在Docker Hub发布了恶意Trivy镜像。进一步追踪发现，攻击者利用名为CanisterWorm的蠕虫从NPM仓库窃取令牌发起攻击。

Aikido对CanisterWorm进行分析，指出他们在NPM仓库中发现大量包遭遇新型蠕虫感染，该蠕虫的特色是利用区块链智能合约ICP Canister作为C2情报交换点（Dead-drop），这是Aikido首次发现采用此种手法的恶意程序。他们认为，这很可能是针对Trivy攻击的后续活动。

对此，Aqua Security通过博客和GitHub公告说明，相关攻击行动最早可追溯至2月底，攻击者利用Trivy GitHub Actions的错误环境配置，截获特权访问令牌，并在仓库自动化与发布流程中建立立足点。尽管Trivy团队在3月1日发现异常并执行了凭证轮换，但后续发现轮换不彻底，导致攻击者仍有可乘之机。Aqua Security强调，此次事故仅影响Trivy开源版本，其公司产品中集成的Trivy未受影响，目前已邀请另一家安全公司Sygnia协助取证与修复。