Comprometimento na cadeia de suprimentos do Trivy: O que os usuários do Docker Hub devem saber

Entre 19 e 23 de março, agentes mal-intencionados comprometeram o pipeline de CI/CD da Aqua Security e enviaram versões infectadas do popular scanner de vulnerabilidades Trivy (versões 0.69.4, 0.69.5, 0.69.6 e tags mais recentes) para o Docker Hub. Isso pode ter exposto segredos de CI/CD dos usuários, credenciais de nuvem, chaves SSH e configurações do Docker. O Docker, em colaboração com a Aqua Security, removeu as imagens comprometidas e recomenda que qualquer usuário que tenha baixado essas versões dentro desse período de 4 dias troque imediatamente todas as credenciais afetadas, observando que a infraestrutura do Docker e as Imagens Aprimoradas não foram afetadas.