安全工具 Trivy 遭供应链攻击：恶意 Docker 镜像试图窃取 GitHub 机密

热门容器安全扫描工具 Trivy 再次遭遇严重的供应链攻击。研究人员发现，攻击者成功入侵其构建流程，向 Docker Hub 推送了三个包含窃密程序的恶意版本（0.69.4、0.69.5 和 0.69.6）。这些镜像旨在窃取 GitHub Actions 环境中的敏感机密。一个明显的危险信号是，这些镜像被推送到 Docker Hub，但 GitHub 仓库中并没有发布对应的正式版本。此次事件揭示了 CI/CD 基础设施中的安全盲区，提醒开发者在使用第三方镜像时必须严格校验版本一致性，警惕供应链投毒风险。