一個月前,資安公司Checkmarx開發的開源基礎架構掃描工具KICS遭遇供應鏈攻擊,駭客團體TeamPCP滲透KICS的GitHub Actions,植入可竊取憑證的惡意程式碼,影響使用該工具進行CI/CD流程的開發人員,如今KICS再度傳出遭遇供應鏈攻擊。
資安公司Socket近日接獲Docker的通報,得知KICS的Docker Hub儲存庫出現惡意映像檔,Socket進一步調查此事,發現攻擊者覆寫了原本的標籤,並引入與上游版本不符的新標籤。而且,映像檔內的KICS二進位檔被竄改,駭客加入了原本不具備的資料收集與外洩功能,使得惡意的KICS能產生未經審查的掃描報告,進行加密處理後傳送到外部。企業若是利用KICS掃描Terraform、CloudFormation或Kubernetes的組態,就有可能受到這波攻擊影響。不過,截至目前為止,Checkmarx未公開回應此事。
值得留意的是,經過深入調查,Socket發現Checkmarx其他開發工具也疑似受到影響,其中包含近期發布的Visual Studio Code(VS Code)延伸套件,駭客植入的惡意程式碼,會透過執行環境Bun下載其他附加元件,並在不需使用者確認的情況下,從特定的GitHub網域抓取JavaScript指令碼並執行。
究竟駭客植入的惡意程式會帶來哪些危害?Socket指出會收集開發環境及雲端憑證,洩露至以受害者帳號建立的公開GitHub儲存庫。另外,惡意軟體也會利用竊得的GitHub憑證,注入新的GitHub Actions工作流程,然後從工作流程挖掘機敏資訊,或是利用竊得的NPM憑證,識別可寫入的套件並試圖發布有問題的版本。Socket強調,駭客並非單純竊取受害環境的資料,而是將開發者的CI/CD存取權限變成新的供應鏈攻擊途徑。
值得留意的是,TeamPCP透露這起事故可能是他們所為,在社群網站X發布訊息嘲諷,但Socket認為,單憑這則推文,難以證明攻擊者就是TeamPCP。
