CVE-2026-33634 in setup-trivy
요약
\~에 의해 VulDB • 2026. 05. 29.
Trivy는 보안 스캐너입니다. 2026년 3월 19일, 위협 행위자는 탈취된 자격 증명을 사용하여 악의적인 Trivy v0.69.4 릴리스를 게시하고, `aquasecurity/trivy-action`의 77개 버전 태그 중 76개를 자격 증명을 탈취하는 멀웨어로 강제 푸시(force-push)하며, `aquasecurity/setup-trivy`의 모든 7개 태그를 악성 커밋으로 대체했습니다. 이 사건은 2026년 2월 말에 시작된 공급망 공격의 연속입니다. 3월 1일 초기 공개 이후 자격 증명 회전(credential rotation)이 수행되었지만 원자적(atomic)이지 않았습니다(모든 자격 증명이 동시에 무효화되지 않음). 공격자는 회전 기간(수 일간 지속) 동안 새로 회전된 비밀 정보를 유출하기 위해 유효한 토큰을 사용했을 수 있습니다. 이를 통해 공격자는 접근 권한을 유지하고 3월 19일 공격을 실행할 수 있었습니다. 영향을 받는 구성 요소에는 `aquasecurity/trivy` Go/컨테이너 이미지 버전 0.69.4, `aquasecurity/trivy-action` GitHub Action 버전 0.0.1–0.34.2(76/77), 그리고 안전한 커밋으로 0.2.6이 재생성되기 전의 `aquasecurity/setup-trivy` GitHub Action 버전 0.2.0–0.2.6이 포함됩니다. 알려진 안전한 버전에는 Trivy 바이너리 버전 0.69.2 및 0.69.3, trivy-action 버전 0.35.0, setup-trivy 버전 0.2.6이 있습니다. 또한, 비밀 정보의 안전을 보장하기 위해 다른 완화 조치를 취하십시오. 환경에서 탈취된 버전이 실행되었을 가능성이 있는 경우, 영향을 받는 파이프라인이 접근할 수 있는 모든 비밀 정보는 노출된 것으로 간주하고 즉시 회전해야 합니다. 조직이 어떤 소스에서든 Trivy v0.69.4를 가져왔거나 실행했는지 확인하십시오. 영향을 받는 아티팩트는 즉시 제거하십시오. `aquasecurity/trivy-action` 또는 `aquasecurity/setup-trivy`를 사용하는 모든 워크플로우를 검토하십시오. 전체 커밋 SHA가 아닌 버전 태그를 참조한 경우, 2026년 3월 19–20일 워크플로우 실행 로그에서 침해 징후를 확인하십시오. 조직 내 GitHub 조직에 `tpcp-docs`라는 이름의 저장소가 있는지 확인하십시오. 이러한 저장소의 존재는 폴백 유출 메커니즘이 트리거되어 비밀 정보가 성공적으로 탈취되었음을 나타낼 수 있습니다. GitHub Action을 가변적인 버전 태그가 아닌 고정된 불변의 커밋 SHA 해시로 고정하십시오.
If you want to get best quality of vulnerability data, you may have to visit VulDB.