對於許多工程師來說,我們習慣信任官方發布的套件或插件,認為只要是從 Jenkins Marketplace 或 GitHub 下載的工具就是安全的。然而,近期 Checkmarx 再次遭遇的供應鏈攻擊(Supply Chain Attack)提醒了我們:當攻擊者掌握了發布權限,信任鏈就會變成傳播惡意程式的快速通道。
所謂的供應鏈攻擊,是指攻擊者不直接攻擊目標公司的伺服器,而是攻擊該公司所依賴的第三方軟體、套件或開發工具。一旦上游的插件被植入惡意代碼,所有下載該版本插件的下游用戶都會在不知不覺中被感染。
本次事件的核心在於 Checkmarx 的 Jenkins AST 插件被惡意竄改。Jenkins 是一個廣泛使用的自動化構建伺服器,而 AST 插件則是用於將安全掃描結果整合進 CI/CD 流程的工具。攻擊組織 TeamPCP 成功取得了該插件 GitHub 儲存庫的未授權訪問權限,隨後將惡意版本發布到了 Jenkins Marketplace。
這類攻擊最危險的地方在於它能竊取開發者的機密資訊(Secrets),例如 API Key、金鑰或登入憑證。一旦這些資訊外流,攻擊者就能進一步滲透進企業的內部網路或雲端環境。
值得關注的是,這並非 Checkmarx 第一次被攻擊。在短短幾週前,該公司就經歷過 KICS Docker 鏡像、VS Code 擴充功能以及 GitHub Actions 工作流被竄改的事件。當時的攻擊目標同樣是竊取憑證。
對於資深維運或資安工程師來說,這次事件揭露了一個嚴重的實務問題:憑證輪轉(Secrets Rotation)的失效。
當一家公司在遭受入侵後進行修復時,最基礎且最重要的步驟就是輪轉所有可能外流的密碼與金鑰。如果攻擊者在短時間內再次進入系統,通常只有兩種可能。第一,最初的修復不徹底,部分舊憑證沒有被更改,導致攻擊者可以用舊鑰匙直接開門。第二,攻擊者在系統中留下了持久化後門(Persistence),即使更改了密碼,他們依然有其他路徑可以潛入。
這對開發團隊的啟示在於,單純的修補漏洞或更改單一密碼是不夠的。完整的事故響應必須包含全面性的權限審查,確保所有存取令牌(Tokens)都被作廢,並檢查是否有未經授權的 SSH Key 或 API 權限被悄悄添加。
面對這類風險,工程團隊可以採取以下防禦策略。首先是實施版本鎖定(Version Pinning),不要在生產環境中使用 latest 標籤,而是指定具體的版本號,並在更新前驗證雜湊值(Hash)。其次是強化 CI/CD 的權限管理,遵循最小權限原則,避免讓單一的插件或 Token 擁有過高的管理權限。最後,建立監控機制來偵測異常的權限變動或未經授權的儲存庫修改。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。