現在很多公司在做自動化開發流程(CI/CD)
都會用像 Trivy、Checkmarx 這種工具來掃漏洞
👉 但這次出事的是:
連這些「安全工具本身」都被駭客動手腳了
🧨 發生什麼事
👉 2026/3/19
駭客(TeamPCP)入侵 Trivy
然後做一件很陰的事👇
👉 把惡意程式偷偷塞進官方工具裡
結果變成:
- 你正常在跑安全掃描
- 看起來一切正常
- 但其實正在偷你公司資料
💻 被偷的資料有哪些?
幾乎全部重要的👇
- 雲端帳號(AWS / GCP)
- SSH 金鑰
- API Key
- 資料庫帳密
- Slack / Discord webhook
- 加密貨幣錢包
👉 白話:
只要是公司機密,幾乎都被翻出來
⚠️ 事情還不只這樣
後面還連鎖爆👇
- Checkmarx 也被影響
- LiteLLM(AI工具)被放毒版本
- npm 生態被 worm 擴散
👉 變成整條供應鏈一起中招
💣 有一個很誇張的功能
👉 如果系統是:
- 波斯語
- 或伊朗時區
👉 直接把整個 Kubernetes 系統刪光(毀滅模式)
其他地區就專心偷資料
📊 影響多嚴重?
- 可能影響 2 萬+ 專案
- 超過 50 萬帳號資料被偷
🧠 為什麼會被打?
簡單講👇
👉 駭客之前就偷到帳密
👉 官方還沒完全處理好
👉 又被拿來再打一波
而且他們還做這件事👇
👉 把「版本標籤」偷偷換掉
👉 你以為用舊版
👉 其實已經是惡意版本
🛡️ 要怎麼防(超白話版)
你至少要做到👇
1️⃣ 不要用「自動抓最新版」
👉 要鎖版本
2️⃣ 憑證不要用太久
👉 改短期 token
3️⃣ 權限不要亂給
👉 用最小權限
4️⃣ 檢查有沒有連到怪網址
5️⃣ 有中就直接重建系統
👉 不要想修
👍 一句話結論
👉 這次最恐怖的是:你信任的安全工具,反而變成駭客入口
資料來源: Trojanization of Trivy, Checkmarx, and LiteLLM solutions | Kaspersky official blog