Como Saber se o Ataque à Cadeia de Suprimentos do Trivy Atingiu Você

Um ataque à cadeia de suprimentos contra os scanners Trivy da Aqua em 19 de março implantou servidores C2 e criptografou a exfiltração, em vez do usual dumping de repositório em texto claro visto em campanhas anteriores como Shai-Hulud, tornando a detecção de IOC consideravelmente mais difícil. É recomendado auditar o tráfego de saída em máquinas de desenvolvedores, registros do GitHub Actions e ambientes de staging/produção para conexões com domínios controlados por atacantes. Segredos expostos devem ser mapeados e rotacionados usando uma abordagem de negação universal antes da reemissão para evitar o abuso de renovação de token. Orientações de fortalecimento incluem fixar as ações do GitHub a SHAs de commit, impor um intervalo de uma semana para nova versão de pacotes, desativar scripts de pré e pós-instalação e adotar tooling CADR em tempo de execução ao invés de escaneamento baseado em hash após o fato.