Milhares de ambientes em nuvem foram infectados por malware de roubo de credenciais depois que o grupo criminoso TeamPCP comprometeu o Trivy, scanner de código aberto mantido pela Aqua Security. O ataque foi identificado pelo pesquisador de segurança Paul McCarty no final da semana passada e ainda está em expansão.
“Sabemos de mais de 1.000 ambientes SaaS afetados neste momento que estão lidando ativamente com esse agente de ameaça específico”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, durante um evento do Google. “Essas mais de 1.000 vítimas provavelmente se expandirão para outras 500, outras 1.000, talvez outras 10.000.”
Os criminosos estão colaborando com grupos de extorsão de alto perfil, incluindo o Lapsus. “Estamos vendo uma convergência perigosa entre invasores da cadeia de suprimentos e grupos de extorsão de alto perfil como o LAPSUS$”, disse Ben Read, pesquisador-chefe da Wiz, empresa de segurança pertencente ao Google.
Eles são baseados principalmente nos Estados Unidos, no Reino Unido, no Canadá e na Europa Ocidental.
Por que o Trivy era um alvo valioso
O Trivy é uma ferramenta de código aberto usada para identificar vulnerabilidades, configurações incorretas e segredos expostos em ambientes de desenvolvimento.
Desenvolvedores costumam integrá-lo diretamente em seus pipelines de CI/CD, sistemas automatizados de construção e publicação de software.
Essa integração é o que tornava o scanner um alvo estratégico. Quem controla o Trivy tem acesso a chaves de API, credenciais de nuvem, tokens do GitHub e uma série de outros segredos confidenciais que passam pelo pipeline durante o desenvolvimento.
Como o ataque foi construído
O comprometimento começou em fevereiro, quando o TeamPCP explorou uma configuração incorreta no componente GitHub Action do Trivy. O grupo roubou um token de acesso privilegiado. Essa falha nunca foi totalmente corrigida.
Em março, os criminosos usaram esse token para fazer commits fraudulentos no repositório oficial do Trivy. A versão 0.69.4 foi comprometida. O grupo distribuiu imagens de contêineres maliciosas e versões adulteradas diretamente pelo GitHub.
Pesquisadores da Socket e da Wiz determinaram que o ataque atingiu múltiplos componentes ao mesmo tempo. Incluindo o scanner principal, a ação trivy-action do GitHub Action e a ação setup-trivy do GitHub Action. Os invasores forçaram a atualização de 75 das 76 tags do trivy-action para versões maliciosas.
O resultado prático era simples. Qualquer desenvolvedor que abrisse o scanner em seu pipeline de desenvolvimento executava automaticamente um malware de roubo de informações.
“Com mais de 10.000 arquivos de fluxo de trabalho no GitHub fazendo referência a essa ação, o alcance potencial do ataque é significativo”, afirmou o analista da Socket, Philipp Burckhardt.
A expansão para outros ecossistemas
O ataque não ficou restrito ao Trivy. Pesquisadores descobriram que o TeamPCP expandiu suas operações para infectar o ecossistema npm, o maior repositório de bibliotecas JavaScript do mundo. O ataque foi feito por meio de um worm inédito batizado de CanisterWorm.
O worm foi implantado usando tokens de publicação roubados durante o ataque inicial ao Trivy. Esses tokens funcionam como senhas que permitem publicar pacotes em nome de uma conta legítima.
O liteLLM também foi comprometido. Esse componente de middleware de inteligência artificial está presente em 36% de todos os ambientes de nuvem, segundo a Wiz. Os criminosos infectaram a ferramenta com um trojan.
“Ao se espalhar horizontalmente pelo ecossistema, atingindo ferramentas como o liteLLM, presentes em mais de um terço dos ambientes de nuvem, eles estão criando um efeito bola de neve”, disse Read. “Este não é um incidente isolado. É uma campanha sistêmica que exige que as equipes de segurança tomem medidas.”
A vandalização da Aqua Security
No domingo, além de identificar imagens maliciosas adicionais publicadas no Docker Hub, os pesquisadores observaram que o TeamPCP invadiu o GitHub interno da própria Aqua Security, a empresa que mantém o Trivy.
Os criminosos renomearam todos os 44 repositórios internos da companhia e expuseram código-fonte interno, configurações de CI/CD e bases de conhecimento. A descrição de cada repositório foi alterada para uma única mensagem: “TeamPCP domina a Aqua Security.”
De acordo com a Socket, “embora o escopo total desse acesso permaneça incerto, a presença desses repositórios indica um nível mais profundo de controle sobre a organização do GitHub durante o ataque.”
O que diz a Aqua Security
De acordo com a companhia-mãe, a resposta ao ataque está em fase de remediação e documentação. A empresa afirma que a investigação principal e as ações de contenção imediatas praticamente concluídas. Agora, a israelense focará em consolidar as descobertas e comunicá-las de forma clara aos clientes e partes interessadas.
“Estamos desenvolvendo documentação formal que inclui o cronograma confirmado, as ações tomadas para remediar o incidente e materiais de apoio para garantia e atestação do cliente. Em paralelo, estamos interagindo diretamente com os clientes para fornecer atualizações estruturadas e garantir que eles tenham as informações necessárias para avaliar qualquer impacto potencial em seus ambientes”, explica a companhia.
O que vem a seguir
Em mensagens públicas publicadas no Telegram, os próprios atacantes anunciaram que pretendem continuar visando outros projetos populares de código aberto.
Carmakal afirma que eles são conhecidos por serem excepcionalmente agressivos em suas extorsões. Eles são muito barulhentos, muito agressivos, e por isso acabaremos vendo o impacto nos próximos dias, semanas e meses.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.