[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article-trivy-docker-images-fresh-supply-chain-attack-zh":3,"article-related-trivy-docker-images-fresh-supply-chain-attack-zh":28,"series-industry-991499d1-f367-4854-8dd2-029e5532819c":84},{"id":4,"slug":5,"title":6,"content":7,"summary":8,"source":9,"source_url":10,"author":11,"image_url":12,"cover_image":12,"category":13,"language":14,"translated_content":11,"related_article_id":15,"keywords":16,"key_takeaways":11,"views":25,"created_at":26,"published_at":27,"topic_cluster_id":11},"991499d1-f367-4854-8dd2-029e5532819c","trivy-docker-images-fresh-supply-chain-attack-zh","Trivy Docker 映像遭供應鏈攻擊","\u003Cp>Trivy 這次真的不是小事。\u003Ca href=\"https:\u002F\u002Ftrivy.dev\" target=\"_blank\" rel=\"noopener\">Trivy\u003C\u002Fa> 的 Docker image tag 0.69.5 和 0.69.6 也被污染。研究團隊 \u003Ca href=\"https:\u002F\u002Fsocket.dev\" target=\"_blank\" rel=\"noopener\">Socket\u003C\u002Fa> 追到的結果很直接：0.69.6 在回報時，還指向惡意映像檔。\u003C\u002Fp>\u003Cp>這代表問題不只是一個版本壞掉。它已經碰到 Docker Hub、GitHub Actions，還碰到很多團隊每天都在跑的 CI\u002FCD 流程。講白了，掃描器自己如果被動手腳，開發者最信的那層保護就先破了。\u003C\u002Fp>\u003Cp>更麻煩的是，這種工具常常有高權限。它能讀原始碼、讀環境變數、看 build log，甚至碰到雲端憑證。你以為它在幫你掃漏洞，結果它可能也在幫攻擊者收資料。\u003C\u002Fp>\u003Ch2>第一波事件後，問題還沒結束\u003C\u002Fh2>\u003Cp>這起事件最早從 2026 年 3 月 19 日開始。當時攻擊者先入侵 Trivy 0.69.4，並把竊取憑證的惡意程式塞進正式釋出和 GitHub Actions。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775200018828-x4i3.png\" alt=\"Trivy Docker 映像遭供應鏈攻擊\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>到了 3 月 22 日，研究人員又找到兩個新的惡意 Docker tag，分別是 0.69.5 和 0.69.6。更怪的是，這兩個 tag 沒有對應的 GitHub release。這種對不上流程的狀況，對做 CI 的人來說很刺眼。\u003C\u002Fp>\u003Cp>正常 release 會有一條完整軌跡。原始碼 tag、build、artifact、映像檔，都應該能對起來。這次卻是 image tag 先冒出來，像是有人直接插隊發貨。對供應鏈攻擊來說，這就是很典型的破口。\u003C\u002Fp>\u003Cul>\u003Cli>0.69.3 是目前已知最後乾淨版本\u003C\u002Fli>\u003Cli>0.69.4 是第一個被污染的版本\u003C\u002Fli>\u003Cli>0.69.5 和 0.69.6 也被發現有問題\u003C\u002Fli>\u003Cli>0.69.6 在回報時仍指向惡意映像檔\u003C\u002Fli>\u003Cli>分析中看到 TeamPCP 相關的竊資特徵\u003C\u002Fli>\u003C\u002Ful>\u003Cp>我覺得這裡最值得警惕的，不是版本號本身，而是流程斷點。只要 release、registry、GitHub Actions 三邊有一邊沒對齊，攻擊者就有機會把假貨塞進去。\u003C\u002Fp>\u003Ch2>為什麼 CI\u002FCD 是攻擊重點\u003C\u002Fh2>\u003Cp>很多團隊把掃描器當成「安全工具」，所以會直接放進 pipeline。問題就在這裡。工具一旦被污染，它就能在最敏感的時候接觸到最多資料。\u003C\u002Fp>\u003Cp>Trivy 常被拿來掃 container、code、de\u003Ca href=\"\u002Fnews\u002Fopenclaw-april-2026-update-xai-minimax-zh\">pen\u003C\u002Fa>dency。它跑在 CI\u002FCD 時，通常會碰到 repo token、registry token、雲端金鑰，還有各種 build 參數。攻擊者只要拿到其中一部分，後面就很好玩了，對他們來說啦。\u003C\u002Fp>\u003Cp>\u003Ca href=\"https:\u002F\u002Fwww.aquasec.com\u002F\" target=\"_blank\" rel=\"noopener\">Aqua Security\u003C\u002Fa> 的分析指出，這次行為和先前觀察到的攻擊模式一致。意思很明白：這不是隨機亂打，而是同一套手法從 GitHub Actions 轉到 Docker 發佈，再往內部資源延伸。\u003C\u002Fp>\u003Cblockquote>“Based on our current understanding, this activity is consistent with the attacker’s previously observed behavior,” Aqua Security said in its March 23 update.\u003C\u002Fblockquote>\u003Cp>這句話很重要。它不是在講單點事故，而是在講一條攻擊鏈。先拿到入口，再用自動化把影響擴散。對防守方來說，這種節奏通常比單次入侵更麻煩。\u003C\u002Fp>\u003Cp>還有一個老問題。很多人只看 tag，不看 digest。像 \u003Ccode>trivy:latest\u003C\u002Fcode> 這種寫法最方便，也最危險。Docker tag 可以被重指向，tag 不是證明，digest 才比較像證明。\u003C\u002Fp>\u003Ch2>GitHub 暴露讓範圍更大\u003C\u002Fh2>\u003Cp>這次攻擊不只碰到 Docker image。研究人員也發現，和 Aqua Security 有關的內部 GitHub \u003Ca href=\"\u002Fnews\u002Fsora-shutdown-ai-vendor-risk-zh\">or\u003C\u002Fa>ganization 曾短暫暴露。當時有數十個 repository 被改名，還被設成公開。\u003C\u002Fp>\n\u003Cfigure class=\"my-6\">\u003Cimg src=\"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775200012956-q4jr.png\" alt=\"Trivy Docker 映像遭供應鏈攻擊\" class=\"rounded-xl w-full\" loading=\"lazy\" \u002F>\u003C\u002Ffigure>\n\u003Cp>時間也很有意思。這些變動據稱只花了大約兩分鐘，而且看起來像腳本在跑，不像人手動一個一個點。這種 burst 式操作通常代表攻擊者早就拿到 token，而且權限不低。\u003C\u002Fp>\u003Cp>這裡還牽到 \u003Ca href=\"https:\u002F\u002Fsocket.dev\u002Fblog\u002Fteampcp-supply-chain-campaign\" target=\"_blank\" rel=\"noopener\">TeamPCP\u003C\u002Fa>。研究團隊把這個群組和竊資、worm 傳播、ransomw\u003Ca href=\"\u002Fnews\u002Fcloudflare-account-abuse-protection-fraud-zh\">are\u003C\u002Fa>、挖礦，還有針對 Kubernetes 的破壞行為連在一起。老實說，這種角色切換很像現在常見的犯罪團隊打法，先偷，再賣，再擴散。\u003C\u002Fp>\u003Cul>\u003Cli>數十個 repository 曾被改名並公開\u003C\u002Fli>\u003Cli>暴露時間約 2 分鐘\u003C\u002Fli>\u003Cli>可能是 service account token 被濫用\u003C\u002Fli>\u003Cli>影響範圍橫跨多個 GitHub organization\u003C\u002Fli>\u003C\u002Ful>\u003Cp>如果你的組織也有自動化帳號，這一段很值得對照。很多公司會把 token 發給 bot、release job、掃描 job。問題是，一個 token 壞掉，常常不是壞一個 repo，而是壞一串流程。\u003C\u002Fp>\u003Ch2>跟其他供應鏈事件比，差在哪\u003C\u002Fh2>\u003Cp>這類事件其實有固定套路。先拿下一個入口，再把惡意內容丟進 registry、build system、開發者工具。Trivy 這次的特別之處在於，它本身就是安全掃描工具。也就是說，攻擊者不是只想混進你的環境，而是想混進你判斷風險的那一層。\u003C\u002Fp>\u003Cp>如果拿其他案例來比，\u003Ca href=\"https:\u002F\u002Fwww.infosecurity-magazine.com\u002Fnews\u002Fdocker-hub-breach-exposes-190k-users\u002F\" target=\"_blank\" rel=\"noopener\">2019 年 Docker Hub 外洩事件\u003C\u002Fa>影響了約 19 萬名使用者。那次很大，但重點偏向帳號外洩。這次 Trivy 事件的重點不一樣，它碰到的是 CI\u002FCD 裡最敏感的安全檢查。\u003C\u002Fp>\u003Cp>所以比較方式也要換。不是只看有多少帳號受影響，而是看 attack surface 有沒有踩進 release gate。當掃描器本身不可信，後面所有 scan result 都要重新驗。\u003C\u002Fp>\u003Cul>\u003Cli>Docker tag 可被改寫\u003C\u002Fli>\u003Cli>GitHub Actions 可被拿來塞惡意輸出\u003C\u002Fli>\u003Cli>掃描器進 CI\u002FCD 後，權限通常很高\u003C\u002Fli>\u003Cli>用 digest pinning 比只看版本號更穩\u003C\u002Fli>\u003Cli>自動化流程越多，供應鏈風險面越大\u003C\u002Fli>\u003C\u002Ful>\u003Cp>還有一點不能漏。Aqua Security 表示，自家商業產品沒有看到受影響，包含 Aqua Platform 內提供的 Trivy。這句話只能縮小已知範圍，不能幫你省掉檢查。如果你是直接拉開源 image，還是得自己查清楚。\u003C\u002Fp>\u003Ch2>這次事件也在提醒產業一件事\u003C\u002Fh2>\u003Cp>開源工具被打，不是新聞第一次出現。只是這次打到的是大家很常用的安全工具，所以感覺特別刺。很多團隊平常會很認真管應用程式，卻把掃描器、build helper、CI action 當成理所當然。\u003C\u002Fp>\u003Cp>問題就在這裡。開發流程越自動化，攻擊者越愛找能重複利用的點。包管理器、CI helper、掃描器，都是高價值目標。因為它們一旦中招，影響的不是一台主機，而是一整串 pipeline。\u003C\u002Fp>\u003Cp>這也解釋了為什麼現在越來越多團隊開始看 SBOM、digest、簽章驗證，還有 artifact provenance。不是因為文件漂亮，而是因為 tag 太容易被動手腳。你如果只看版本號，等於只看門牌，不看裡面住的是誰。\u003C\u002Fp>\u003Cp>我會建議台灣團隊先做三件事。第一，檢查最近有沒有拉到 0.69.4、0.69.5、0.69.6。第二，把 Trivy image 改成 digest pinning。第三，回頭看 GitHub Actions 權限，尤其是 service account token。\u003C\u002Fp>\u003Cp>再多做一步也不難。把掃描 job 的 outbound traffic、環境變數讀取、異常 repository 變更都記錄下來。這些東西平常看起來很煩，但出事時會救命。\u003C\u002Fp>\u003Ch2>接下來該怎麼看\u003C\u002Fh2>\u003Cp>這次 Trivy 事件給我的結論很直接：供應鏈攻擊會越來越愛打工具層。因為那裡權限高、被信任、又常常沒人細查。說白了，攻擊者不一定要打你的 app，先打你的 scanner 就夠痛了。\u003C\u002Fp>\u003Cp>如果你的 CI\u002FCD 還在用 mutable tag，我會說現在就該改。不是等下一次事故來了才補洞。你可以先從 digest pinning、token 盤點、GitHub Actions 權限收斂開始。這些都是實作成本不高，但能少掉很多麻煩的動作。\u003C\u002Fp>\u003Cp>我自己的判斷是，接下來 12 個月，更多攻擊會盯上 package manager、scanner、CI helper 這類工具。下一次不一定會像這次一樣吵，但它可能更安靜，也更難抓。你現在要做的，不是等它來，而是先把流程改到不怕它來。\u003C\u002Fp>","Trivy 的 Docker tag 0.69.5、0.69.6 也被污染。這起事件從單一版本外洩，變成 CI\u002FCD 供應鏈風險案例，Scanner 本身一旦中招，整條流程都會失去信任。","www.infosecurity-magazine.com","https:\u002F\u002Fwww.infosecurity-magazine.com\u002Fnews\u002Ftrivy-supply-chain-attack-expands\u002F",null,"https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1775200018828-x4i3.png","industry","zh","5a5a96eb-ef53-46ce-9ad4-b5158fd0d799",[17,18,19,20,21,22,23,24],"Trivy","Docker","供應鏈攻擊","CI\u002FCD","GitHub Actions","TeamPCP","資安","容器安全",6,"2026-04-03T07:06:33.870882+00:00","2026-04-03T07:06:33.842+00:00",{"tags":29,"relatedLang":43,"relatedPosts":47},[30,32,34,35,37,38,39,41],{"name":17,"slug":31},"trivy",{"name":22,"slug":33},"teampcp",{"name":23,"slug":23},{"name":21,"slug":36},"github-actions",{"name":19,"slug":19},{"name":24,"slug":24},{"name":18,"slug":40},"docker",{"name":20,"slug":42},"cicd",{"id":15,"slug":44,"title":45,"language":46},"trivy-docker-images-fresh-supply-chain-attack-en","Trivy Docker Images Hit by Fresh Supply Chain Attack","en",[48,54,60,66,72,78],{"id":49,"slug":50,"title":51,"cover_image":52,"image_url":52,"created_at":53,"category":13},"65ca7e37-1bf4-4e29-b7f8-cf6ae3182b72","congress-should-treat-fraud-cuts-as-tax-relief-zh","為什麼國會該把打擊詐領當成減稅，而不是殘酷","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780562880881-bpta.png","2026-06-04T08:47:27.829649+00:00",{"id":55,"slug":56,"title":57,"cover_image":58,"image_url":58,"created_at":59,"category":13},"f95cf6d8-0989-4ecd-88c4-c0ee6055b2ad","why-lisa-mcclain-committee-assignments-matter-zh","為什麼 Lisa McClain 的委員會席次比她的新聞標題更重要","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780561972248-a8m5.png","2026-06-04T08:32:20.773326+00:00",{"id":61,"slug":62,"title":63,"cover_image":64,"image_url":64,"created_at":65,"category":13},"76032ead-61f6-4f4f-a023-e20cb93a621b","why-the-clarity-act-is-here-to-stay-zh","為什麼 CLARITY Act 會留下來","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780561074594-hqmg.png","2026-06-04T08:17:26.885295+00:00",{"id":67,"slug":68,"title":69,"cover_image":70,"image_url":70,"created_at":71,"category":13},"381601ca-ac6d-41db-b8df-2711eadd0ed1","5-republican-quotes-on-federal-fraud-crackdowns-zh","5 個共和黨對聯邦反詐騙的說法","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780560172625-9ek9.png","2026-06-04T08:02:23.403684+00:00",{"id":73,"slug":74,"title":75,"cover_image":76,"image_url":76,"created_at":77,"category":13},"d73870f0-f463-413f-8f4e-0b859ca78c97","ai-fraud-blockchain-finance-defenses-zh","AI 詐騙跑太快，防線怎麼追","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780557487797-7fzf.png","2026-06-04T07:17:34.282107+00:00",{"id":79,"slug":80,"title":81,"cover_image":82,"image_url":82,"created_at":83,"category":13},"c64ecc12-d2bf-419c-938f-407b6ae2d74c","5-blockchain-ai-market-signals-for-buyers-zh","5 個區塊鏈 AI 市場訊號","https:\u002F\u002Fxxdpdyhzhpamafnrdkyq.supabase.co\u002Fstorage\u002Fv1\u002Fobject\u002Fpublic\u002Fcovers\u002Finline-1780556577201-iu8x.png","2026-06-04T07:02:25.523387+00:00",[85,90,95,100,105,110,115,120,125,130],{"id":86,"slug":87,"title":88,"created_at":89},"ee073da7-28b3-4752-a319-5a501459fb87","ai-in-2026-what-actually-matters-now-zh","2026 AI 真正重要的事","2026-03-26T07:09:12.008134+00:00",{"id":91,"slug":92,"title":93,"created_at":94},"83bd1795-8548-44c9-9a7e-de50a0923f71","trump-ai-framework-power-speech-state-preemption-zh","川普 AI 框架瞄準電力、言論與州權","2026-03-26T07:12:18.695466+00:00",{"id":96,"slug":97,"title":98,"created_at":99},"ea6be18b-c903-4e54-97b7-5f7447a612e0","nvidia-gtc-2026-big-ai-announcements-zh","NVIDIA GTC 2026 重點拆解","2026-03-26T07:14:26.62638+00:00",{"id":101,"slug":102,"title":103,"created_at":104},"4bcec76f-4c36-4daa-909f-54cd702f7c93","claude-users-spreading-out-and-getting-better-zh","Claude 用戶更分散，也更會用","2026-03-26T07:22:52.325888+00:00",{"id":106,"slug":107,"title":108,"created_at":109},"bd903b15-2473-4178-9789-b7557816e535","openclaw-raises-hard-question-for-ai-models-zh","OpenClaw 逼問 AI 模型價值","2026-03-26T07:24:54.707486+00:00",{"id":111,"slug":112,"title":113,"created_at":114},"eeac6b9e-ad9d-4831-8eec-8bba3f9bca6a","gap-google-gemini-checkout-fashion-search-zh","Gap 把結帳搬進 Gemini","2026-03-26T07:28:23.937768+00:00",{"id":116,"slug":117,"title":118,"created_at":119},"0740e53f-605d-4d57-8601-c10beb126f3c","google-pushes-gemini-transition-to-march-2026-zh","Google 把 Gemini 轉換延到 2026 年 3…","2026-03-26T07:30:12.825269+00:00",{"id":121,"slug":122,"title":123,"created_at":124},"e660d801-2421-4529-8fa9-86b82b066990","metas-llama-4-benchmark-scandal-gets-worse-zh","Meta Llama 4 分數風波又擴大","2026-03-26T07:34:21.156421+00:00",{"id":126,"slug":127,"title":128,"created_at":129},"183f9e7c-e143-40bb-a6d5-67ba84a3a8bc","accenture-mistral-ai-sovereign-enterprise-deal-zh","Accenture 攜手 Mistral AI 賣主權 AI","2026-03-26T07:38:14.818906+00:00",{"id":131,"slug":132,"title":133,"created_at":134},"191d9b1b-768a-478c-978c-dd7431a38149","mistral-ai-faces-its-hardest-year-yet-zh","Mistral AI 迎來最硬的一年","2026-03-26T07:40:23.716374+00:00"]