Generatived (Beta) | Cung cấp tin tức và xu hướng mới nhất về AI sáng tạo

Vào ngày 19 tháng 3 năm 2026, một cuộc tấn công mạng tinh vi đã nhắm vào phần mềm quét lỗ hổng bảo mật mã nguồn mở Trivy, do Aqua Security phát triển. Nhóm tấn công, được xác định là TeamPCP, đã khai thác lỗ hổng chưa được khắc phục từ một vụ xâm phạm trước đó để tiêm phần mềm độc hại vào các bản phát hành chính thức của Trivy. Phần mềm độc hại này được thiết kế để đánh cắp thông tin đăng nhập từ các tổ chức sử dụng phần mềm quét này trong quy trình CI/CD của họ.

Cuộc tấn công không chỉ làm tổn hại đến mã nhị phân của trình quét cốt lõi mà còn ảnh hưởng đến các GitHub Actions trivy-action và setup-trivy, biến các công cụ bảo mật thành vũ khí chống lại chính người dùng. Phần mềm độc hại hoạt động một cách lén lút, cho phép các chức năng bình thường tiếp tục hoạt động trong khi đánh cắp dữ liệu nhạy cảm. Nhóm Trivy đã phản hồi nhanh chóng ngay trong cùng ngày, gỡ bỏ các phiên bản độc hại để ngăn chặn sự lây lan thêm.

Những kẻ tấn công đã lợi dụng các thẻ có thể thay đổi và danh tính người dùng tự khai báo trong Git và GitHub, một chiến thuật tương tự như những chiến dịch trước đây như Shai-Hulud 2.0. Bằng cách ép buộc đẩy các thẻ đã bị thay đổi, chúng đã chuyển hướng các tham chiếu phiên bản đáng tin cậy đến các commit độc hại, kích hoạt việc thực thi mã của chúng trong các quy trình CI/CD không hề hay biết.

Microsoft Defender for Cloud đã phát hiện cuộc tấn công, quan sát hành vi của phần mềm độc hại, bao gồm việc phát hiện tiến trình, thu thập thông tin đăng nhập và đánh cắp dữ liệu. Dữ liệu bị đánh cắp đã được mã hóa và gửi đến một tên miền giả mạo, sau đó phần mềm độc hại đã xóa dấu vết hoạt động của nó. Microsoft Defender XDR đã cung cấp một loạt các phát hiện cho khách hàng, và Microsoft Security Copilot trong Microsoft Defender cung cấp các công cụ để điều tra và ứng phó.

Sự cố này nhấn mạnh việc các đối thủ ngày càng tập trung vào các quy trình CI/CD và chuỗi cung ứng phần mềm. Microsoft Defender khuyến cáo các tổ chức nên cập nhật lên các phiên bản an toàn của Trivy và các thành phần liên quan, tăng cường bảo mật cho các quy trình CI/CD , thực thi quyền truy cập tối thiểu và bảo vệ các bí mật. Ngoài ra, khả năng phân tích đường dẫn tấn công và Săn lùng nâng cao của Microsoft Defender có thể giúp các tổ chức đánh giá và giảm thiểu rủi ro liên quan đến các cuộc tấn công như vậy.