Post #4963

Досканировались Хакеры скомпрометировали популярный инструмент для сканирования уязвимостей Trivy и развернули через него инфостилер. Имея доступ к репозиторию, группа подменилаentrypoint.sh в GitHub Actions и опубликовали бинарь. По данным СМИ, вредонос сканировал память раннеров и получил доступ к SSH‑ключам, cloud‑токенам, env‑файлам. Собранные данные упаковывались в архив и отправлялись на поддельный домен. Спустя сутки та же группа использовала украденные npm‑токены, чтобы запустить самораспространяющегося червя. Уже поражено десятки пакетов в npm, включая 28 в @EmilGroup и 16 в @opengov. Он самостоятельно собирает токены из .npmrc и окружения и публикует заражённые версии от имени скомпрометированных аккаунтов. В итоге вредоносный релиз находился в публичном доступе около трёх часов, а скомпрометированные теги GitHub Actions — до 12 часов. НеКасперский