标签
GitGuardian研究人员在公开的GitHub和Docker Hub上扫描发现了44个活跃的Kubernetes集群凭证和2034个容器注册表凭证,其中46%的注册表凭证仍有效,30%的集群暴露超过两年。这些泄漏包括kubeconfig文件中的TLS证书、CI/CD中嵌入的无过期JWT令牌,以及GitHub、Docker Hub、Quay等平台的注册表凭证,可被用于横向移动、持久化和窃取更多凭证。防御措施包括:使用短生命周期凭证(OIDC)、最小权限原则、网络隔离、以及集群下线时及时撤销凭证。
Bitwarden/CLI的npm包被入侵,恶意代码将数据发送至audit.checkmarx.cx,并通过GitHub提交中的beautifulcastle和LongLiveTheResistanceAgainstMachines标记进行C2通信。该攻击还针对Claude Code等六款AI编程助手,在~/.bashrc和~/.zshrc中植入反AI宣言。研究确认攻击通过被篡改的Checkmarx KICS Docker镜像利用Dependabot自动更新传播,建议对依赖更新添加冷却机制。
2026年4月21日至23日,三起供应链攻击同时针对npm、PyPI和Docker Hub展开。攻击者通过被篡改的Checkmarx KICS镜像、pgserve蠕虫(CanisterSprawl)和xinference包窃取API密钥、云凭证、SSH密钥和环境变量。TeamPCP被确认策划了KICS和xinference攻击,而CanisterSprawl蠕虫使用Internet Computer Protocol作为C2通道,能跨生态系统自我传播。防御关键是:即使包已运行,也要立即轮换所有可能被访问的密钥,因为三个攻击活动的唯一目标都是从开发环境和CI/CD管道中提取凭证。