How the Trivy supply chain attack harvested credentials from secrets managers
2 days ago
- #supply-chain-attack
- #secrets-management
- #security-vulnerability
- 对Trivy的供应链攻击涉及向官方发布的可执行文件中注入窃取凭据的恶意软件,该软件能够从环境变量中窃取明文API密钥且未被检测到。
- 传统的密钥管理器(如Vault、AWS Secrets Manager)存在漏洞,因为它们在运行时以明文环境变量的形式检索并暴露API密钥,这使得被入侵的工具能够访问这些密钥。
- VaultProof通过将API密钥拆分为存储在独立位置的密码学份额来防止此类攻击,确保完整密钥永远不会在运行时环境中以明文形式存在,从而使凭据窃取行为无效。