概要
3月19日、攻撃者 が 侵害 された 認証 情報 を 使用 して Trivy v0.69.4 の 悪意 ある リリース を 公開 しました。さらに trivy-action の v0.0.1〜v0.34.2(76/77 タグ)および setup-trivy の v0.2.0〜v0.2.6(全7 タグ)を クレデンシャル 窃取 マルウェア に 差し替え ました。この 攻撃 は 2月末 の LiteLLM PyPI 攻撃 から の 継続 と みられ、CI/CD パイプライン の 認証 情報 が 窃取 される 危険性 が あります。影響 を 受ける バージョン を 使用 している 場合 は、直ちに シークレット の ローテーション を 行い、安全 な バージョン に 更新 する こと を 強く 推奨 します。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.8(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-506(Embedded Malicious Code) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| Trivy | 0.69.4(悪意 ある リリース) | 0.69.2 / 0.69.3(安全) |
| trivy-action | v0.0.1〜v0.34.2 | v0.35.0 |
| setup-trivy | v0.2.0〜v0.2.6 | v0.2.6(再作成 版) |
修正 バージョン と 回避策
- 安全 な バージョン: Trivy 0.69.2 または 0.69.3、trivy-action v0.35.0、setup-trivy v0.2.6(再作成 版)
- Trivy v0.69.4 を 使用 した 場合 は、CI/CD 環境 の すべて の シークレット を 直ちに ローテーション して ください
- GitHub Actions で は タグ 参照 では なく コミット SHA を ピン 留め する 運用 を 推奨 します
- trivy-action / setup-trivy の ワークフロー ログ を 確認 し、不審 な 外部 通信 が ないか 監査 して ください
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。