标签
GitGuardian研究人员在公开的GitHub和Docker Hub上扫描发现了44个活跃的Kubernetes集群凭证和2034个容器注册表凭证,其中46%的注册表凭证仍有效,30%的集群暴露超过两年。这些泄漏包括kubeconfig文件中的TLS证书、CI/CD中嵌入的无过期JWT令牌,以及GitHub、Docker Hub、Quay等平台的注册表凭证,可被用于横向移动、持久化和窃取更多凭证。防御措施包括:使用短生命周期凭证(OIDC)、最小权限原则、网络隔离、以及集群下线时及时撤销凭证。
Bitwarden/CLI的npm包被入侵,恶意代码将数据发送至audit.checkmarx.cx,并通过GitHub提交中的beautifulcastle和LongLiveTheResistanceAgainstMachines标记进行C2通信。该攻击还针对Claude Code等六款AI编程助手,在~/.bashrc和~/.zshrc中植入反AI宣言。研究确认攻击通过被篡改的Checkmarx KICS Docker镜像利用Dependabot自动更新传播,建议对依赖更新添加冷却机制。
2026年4月21日至23日,三起供应链攻击同时针对npm、PyPI和Docker Hub展开。攻击者通过被篡改的Checkmarx KICS镜像、pgserve蠕虫(CanisterSprawl)和xinference包窃取API密钥、云凭证、SSH密钥和环境变量。TeamPCP被确认策划了KICS和xinference攻击,而CanisterSprawl蠕虫使用Internet Computer Protocol作为C2通道,能跨生态系统自我传播。防御关键是:即使包已运行,也要立即轮换所有可能被访问的密钥,因为三个攻击活动的唯一目标都是从开发环境和CI/CD管道中提取凭证。
过去三年间,Kong、Docker Hub、Ultralytics、PyPI、npm及xrpl.js等平台发生多起供应链攻击事件。攻击者利用被盗的GitHub Actions令牌或开发者账户凭证,绕过CI/CD流程直接向注册表发布恶意版本(如Kong v3.4.0后门镜像、xrpl.js后门SDK等),导致恶意容器和投毒库在官方渠道流通数天至数周未被检测。StepSecurity Artifact Monitor通过实时关联发布物与CI/CD工作流执行日志,可在数分钟内标记非合规版本,建议企业部署此类registry监控工具以防止供应链攻击。