Giriş
Siber güvenlik araştırmacıları, Trivy tedarik zinciri saldırısının ardından Docker Hub’da dağıtılan kötü niyetli içerikleri ortaya çıkardı. Bu durum, geliştirici ortamları arasındaki tehditlerin giderek yaygınlaştığını göstermektedir.
Saldırı Nasıl Çalışıyor?
Trivy, Aqua Security tarafından geliştirilen popüler bir açık kaynak güvenlik tarayıcısıdır. En son temiz sürümü 0.69.3 olan Trivy’nin kötü niyetli versiyonları ise 0.69.4 , 0.69.5 ve 0.69.6 olarak kaydedilmiştir ve bu sürümler Docker görüntü kütüphanesinden kaldırılmıştır.
Philipp Burckhardt, Socket güvenlik araştırmacısı, “22 Mart’ta, karşılık gelen GitHub sürümleri veya etiketleri olmadan, yeni 0.69.5 ve 0.69.6 etiketleri itildi. Bu görüntüler, daha önce bu kampanyanın aşamalarında gözlemlenen TeamPCP bilgi hırsızı ile ilişkili ihlal göstergelerini içermektedir” açıklamasında bulundu.
Ayrıca, bu saldırılar sonucunda, saldırganların çalınan verileri kullanarak çok sayıda npm paketini tehlikeye attığı ve CanisterWorm adı verilen kendi kendini yayan bir solucan dağıttığı bildirilmiştir. Bu olayın arkasında, TeamPCP olarak bilinen bir tehdit aktörünün bulunduğu düşünülmektedir.
Etkilenen Sistemler
OpenSourceMalware ekibine göre, saldırganlar Aqua Security’nin GitHub organizasyonuna ait olan 44 iç havuzunu, her birinin adını “tpcp-docs-” ön ekiyle değiştirerek, açıklamalarını “TeamPCP Owns Aqua Security” şeklinde ayarlayarak kamuya açıkladı. Bu düzenleme, 22 Mart 2026 tarihinde, sadece 2 dakikalık bir süre içinde gerçekleşti. Yüksek bir güvenle, saldırganın bu amaçla ele geçirilmiş bir “Argon-DevOps-Mgt” hizmet hesabını kullandığı değerlendirilmektedir.
Paul McCarty, güvenlik araştırmacısı, “GitHub Events API’sinin adli analizimiz, TeamPCP’nin önceki Trivy GitHub Actions ihlali sırasında muhtemelen çalınmış bir hizmet hesabı token’ının saldırı vektörü olduğunu işaret etmektedir” dedi.
Saldırganlar, bulut altyapılarına yönelik sürekli bir tehdit oluşturarak, Docker API’lerini, Kubernetes kümelerini ve Redis sunucularını sistematik bir şekilde açığa çıkarmaktadır. Bu durum, veri çalmak, fidye yazılımı dağıtmak ve kripto para madenciliği yapmak amacı taşımaktadır.
Çözüm ve Korunma
Devam eden saldırılar ışığında, kuruluşların Trivy kullanımını CI/CD hatlarında gözden geçirmesi, etkilenen sürümleri kullanmaktan kaçınması ve son gerçekleştirilen işlemleri potansiyel olarak ihlal edilmiş olarak değerlendirmesi büyük önem taşımaktadır. Unutulmamalıdır ki, bu tür tedarik zinciri saldırıları uzun süreli etkilere neden olabilir.
- Görüş ve Eylemler:
- Trivy’yi güncelleyin ve etkilenen sürümleri kullanmayın.
- Tedarik zinciri güvenliğinizi gözden geçirin.
- Tüm geçmiş işlemleri titizlikle inceleyin.
Siber saldırganların bulut güvenliği şirketlerine bile ulaşabildiği bir ortamda, güvenlik önlemlerinin sürekli güncellenmesi hayati öneme sahiptir.
