#Trivy

트리비 스캐너 공급망 공격으로 전면 탈취 위험

아쿠아 시큐리티(Aqua Security)의 널리 쓰이는 오픈소스 취약점 스캐너인 트리비(Trivy)의 깃허브(GitHub) 저장소가 대규모 공급망 공격을 받아 개발자 파이프라인과 기밀 정보가 전면 유출될 위기에 처했습니다. 해커는 탈취한 자격 증명을 이용해 악의적인 의존성을 포함한 버전 태그를 강제 푸시(force-push)했으며, 감염된 버전을 사용할 경우 깃허브 토큰, SSH 키 등 모든 시크릿이 암호화되어 외부로 전송됩니다. 개발자들은 자신의 CI/CD 파이프라인이 감염되었을 가능성을 가정하고 모든 파이프라인 시크릿을 즉시 교체해야 합니다.