当前位置：首页 > article >正文

[特殊字符] 高危预警：TeamPCP黑客组织连环攻陷Aqua Security，Trivy供应链攻击全面升级

article 2026/4/25 1:29:33

发动Trivy供应链攻击的TeamPCP黑客组织持续锁定Aqua SecurityTrivy所属厂商发起精准打击恶意推送伪装Docker镜像、劫持企业GitHub组织账号批量篡改数十个开源代码仓库。本次连环入侵仍是此前高危供应链投毒事件的延续攻击者非法攻陷Aqua Security旗下安全扫描工具Trivy的GitHub自动化构建流水线植入窃密后门恶意软件攻击期间攻击链条进一步扩散污染至Docker Hub官方镜像仓库。 Trivy全球顶流开源安全检测工具Trivy作为全球顶流开源安全检测工具GitHub平台累计星标超33,800颗广泛用于精准扫描各类软件制品、底层基础设施中潜藏漏洞、高危配置错误、泄露密钥凭证覆盖企业全链路安全防线。⚠️ Docker Hub官方镜像仓库已遭污染Socket发布专项报告正式确认Docker Hub官方镜像仓库已出现恶意篡改的Trivy污染制品包。Socket安全研究员证实攻击者违规强行推送伪装镜像标签0.69.5与0.69.6版本但GitHub平台无对应官方合规发布记录及版本标签备案。深度分析判定两款恶意镜像均携带专属入侵指纹特征与TeamPCP攻陷Aqua Security GitHub组织后投放的云窃密后门恶意软件完全同源复用。安全提示Trivy官方最终合规稳定版锁定为0.69.3版本。尽管暂未捕获旧版镜像、编译程序发布后遭二次篡改痕迹但Docker Hub镜像版本标签不具备永久不可篡改属性企业不能单纯依赖标签名称判定程序安全完整性。攻陷劫持Aqua Security GitHub核心组织账号Aqua Security官方通报结论本次二次入侵核心诱因系月初针对同款Trivy工具首轮泄露事件的溯源封堵、安全加固工作存在重大疏漏短板未能彻底阻断攻击者权限链路。官方坦言我们虽批量紧急轮换重置全域密钥、身份令牌但重置操作非原子一次性闭环执行攻击者大概率同步窃取复刻更新后的全新合法令牌凭证。漏洞权限复用直接纵容攻击者向Trivy主程序底层植入TeamPCP专属云窃密后门代码批量推送伪装篡改高危恶意版本。️ 应急响应与二次入侵应急响应层面Aqua Security已于3月20日紧急发布全新安全纯净版Trivy安装包同步联合专业应急溯源厂商Sygnia深度介入漏洞修复、全链路取证调查闭环处置。然而不久后官方紧急更新预警公告3月22日后台监控捕获大量异常高危操作行为判定同一TeamPCP攻击者已再次非法越权登录违规篡改大量核心代码仓库配置、恶意删除篡改历史记录。⚠️ 厂商补充说明截至当前最新节点Trivy开源主程序暂未遭受本轮二次恶意篡改波及。深度拆解私有代码组织aquasec-com遭精准打击开源恶意情报社区平台OpenSourceMalware深度拆解TeamPCP精准攻陷Aqua Security专属私有代码托管组织账号aquasec-com该账号独立隔离于公开开源仓库组织aquasecurity核心承载企业闭源私有商业代码资产。黑客全程依托自动化恶意脚本批量执行操作耗时仅约两分钟为组织内全部44个私有代码仓库统一强制添加tpcp-docs-前缀命名批量篡改仓库简介公示嘲讽标语TeamPCP掌控Aqua Security全域权限致命突破口服务账号Argon-DevOps-Mgt攻击者核心入侵突破口为非法攻陷服务账号Argon-DevOps-Mgt该账号默认配置全域最高权限同步打通Aqua Security公开、私有两大GitHub组织后台管理权限。高危配置漏洞曝光OpenSourceMalware披露致命安全短板表格风险项现状合规标准身份鉴权方式普通用户个人访问令牌PATGitHub应用授权鉴权模式令牌特性静态明文密码有效期超长临时动态令牌MFA防护未启用双重多因素认证强制启用MFA致命风险个人访问令牌鉴权机制等同于静态明文密码且服务账号默认承载自动化后台调度任务常规未启用双重多因素认证MFA防护极易被窃取复用。️ 权限验证与痕迹销毁为精准验证攻陷账号是否具备两大GitHub组织全域管理员权限TeamPCP恶意创建临时分支update-plugin-links-v0.218.2推送至公开仓库aquasecurity/trivy-plugin-aqua随即精准毫秒级一键删除无痕销毁痕迹。窃取链路还原锁定窃取链路黑客依托自研TeamPCP云窃密后门非法采集窃取该Argon-DevOps-Mgt服务账号个人访问令牌。恶意软件可精准从持续集成调度运行环境中批量窃取GitHub令牌SSH密钥云平台凭证系统环境变量等高敏数据OpenSourceMalware对此解释该服务账号常态调度触发trivy-plugin-aqua流水线自动化任务鉴权令牌长期明文驻留运行环境极易被恶意软件一键批量采集窃取。企业自查建议目前OpenSourceMalware已公开全套专属入侵妥协指纹特征库助力企业安全运维人员快速自查研判排查本机环境、业务链路是否已深陷本次高危供应链投毒入侵。✅ 官方最终声明Aqua Security官方声明暂未捕获任何证据证实企业商业付费产品内置Trivy检测引擎遭受篡改波及。

[特殊字符] 高危预警：TeamPCP黑客组织连环攻陷Aqua Security，Trivy供应链攻击全面升级

相关文章：

[特殊字符] 高危预警：TeamPCP黑客组织连环攻陷Aqua Security，Trivy供应链攻击全面升级

中国私营企业调查数据CPES1993-2016年

加码 AI 安全研发：微软引入 Anthropic Claude Mythos 模型强化代码风控

AI 应用安全加固：Scenario 自动化红队测试开源方案

手把手搭建第一个企业级AI Agent：从零配置LangChain环境

如何让 Agent 具备“长期记忆”而不越界：Memory 分层、TTL 与数据治理

Simulink代码优化实战：手把手教你配置Embedded Coder，让生成的C代码又快又省（附避坑指南）

JFlash V6.98保姆级教程：如何快速配置HC32、GD32、FM33芯片支持（附常见问题解决）

南金研CAN数采仪助力吉利远程商用车售后问题处理

VSCode远程开发+WSL2+iOS模拟器+Android真机联调：一套配置打通全端调试闭环（附可运行配置包）

七分钟一颗核弹！“哥斯拉厄尔尼诺”倒计时，你准备好了吗？

JoyCode Agent：基于多智能体协同的自动化代码修复系统实战指南

1.2 VMware部署Rocky Linux 9 （MBR分区表，图形化安装）

智能家居无线数传技术深度解析：从Wi-Fi到Zigbee，探索高速稳定的通信解决方案

2019年数据科学在线课程全景与学习路径解析

AI圈大洗牌：智谱Anthropic集体涨价，老用户直呼“被背刺“！

从零到一：HOLLiAS MACS-K 系统硬件概述

深度学习损失函数：原理、选择与优化实践

别再硬碰硬了！用Python+ROS2手把手实现机器人导纳控制（附UR5仿真代码）

别再手动算日期了！SAP ABAP里这8个日期时间函数，帮你省下90%的开发时间

IntelliJ IDEA + SonarLint 插件：如何为团队项目定制专属的代码质量规则？

如何高效进行经管社科实证数据搜集与整理（微观篇）

电流互感器在电源监测与工业控制中的应用解析

嵌入式Linux开发实战：基于Orange Pi的U-Boot、内核与设备树配置指南

Premiere（Pr）下载安装教程（附安装包）

3步轻松解决腾讯游戏卡顿：sguard_limit让你的电脑重获流畅体验

C语言中的宏定义（#define）

[具身智能-433]：WebSocket 本质上是一个“披着 HTTP 外衣的 TCP 长连接”的后台通信机制。

别再死记硬背了！用一张图帮你彻底搞懂防火墙的三种工作模式（分组过滤/应用代理/状态检测）

从零入门 LangChain：Python 语法详解 + 工具开发 + 结构化输出实战