📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O scanner de vulnerabilidade Trivy foi comprometido em um ataque à cadeia de suprimentos por agentes de ameaças conhecidos como TeamPCP, que distribuíram malware para roubo de credenciais por meio de lançamentos oficiais e ações do GitHub.
Trivy é um scanner de segurança popular que ajuda a identificar vulnerabilidades, configurações incorretas e segredos expostos em contêineres, ambientes Kubernetes, repositórios de código e infraestrutura em nuvem. Como os desenvolvedores e as equipes de segurança costumam usá-lo, é um alvo de alto valor para os invasores roubarem segredos de autenticação confidenciais.
A violação foi divulgada pela primeira vez pelo pesquisador de segurança Paul McCarty, que alertou que a versão 0.69.4 do Trivy havia sido backdoor, com imagens de contêineres maliciosas e lançamentos do GitHub publicados aos usuários.
Uma análise mais aprofundada do Socket e, posteriormente, da Wiz determinou que o ataque afetou várias ações do GitHub, comprometendo quase todas as tags de versão do repositório trivy-action.
Os pesquisadores descobriram que os agentes de ameaças comprometeram o processo de construção do GitHub do Trivy, trocando o entrypoint.sh no GitHub Actions por uma versão maliciosa e publicando binários trojanizados na versão Trivy v0.69.4, ambos atuando como infostealers no scanner principal e ações relacionadas do GitHub, incluindo trivy-action e setup-trivy.
Os invasores abusaram de uma credencial comprometida com acesso de gravação ao repositório, permitindo-lhes publicar versões maliciosas. Essas credenciais comprometidas são de uma violação anterior de março, na qual as credenciais foram exfiltradas do ambiente de Trivy e não totalmente contidas.
O agente da ameaça forçou 75 das 76 tags no repositório aquasecurity/trivy-action, redirecionando-as para commits maliciosos.
Como resultado, qualquer fluxo de trabalho externo que usasse as tags afetadas executava automaticamente o código malicioso antes de executar verificações legítimas do Trivy, dificultando a detecção do comprometimento.
Socket relata que o infostealer coletou dados de reconhecimento e escaneou sistemas para uma ampla variedade de arquivos e locais conhecidos por armazenar credenciais e segredos de autenticação, incluindo:
Dados de reconhecimento: nome do host, whoami, uname, configuração de rede e variáveis de ambiente
SSH: chaves privadas e públicas e arquivos de configuração relacionados
Configurações de nuvem e infraestrutura: credenciais Git, AWS, GCP, Azure, Kubernetes e Docker
Arquivos de ambiente: .env e variantes relacionadas
Credenciais de banco de dados: arquivos de configuração para PostgreSQL, MySQL/MariaDB, MongoDB e Redis
Arquivos de credenciais: incluindo gerenciador de pacotes e tokens de autenticação relacionados ao Vault
Configurações de CI/CD: Terraform, Jenkins, GitLab CI e arquivos semelhantes
Chaves privadas TLS
Configurações VPN
Webhooks: tokens Slack e Discord
Arquivos de histórico do shell
Arquivos de sistema: /etc/passwd, /etc/shadow e logs de autenticação
Carteiras de criptomoeda
Credenciais de coleta do Infostealer, chaves SSH e arquivos de ambienteFonte: BleepingComputer
O script malicioso também verificaria regiões de memória usadas pelo processo GitHub Actions Runner.Worker em busca da string JSON "" ":{ "value": "", "isSecret":true}" para encontrar segredos de autenticação adicionais.
Nas máquinas dos desenvolvedores, o binário Trivy trojanizado realizou coleta de dados semelhante, reunindo variáveis de ambiente, verificando arquivos locais em busca de credenciais e enumerando interfaces de rede.
Os dados coletados foram criptografados e armazenados em um arquivo chamado tpcp.tar.gz, que foi então exfiltrado para um servidor de comando e controle typosquatted em scan.aquasecurtiy[.]org.
Se a exfiltração falhasse, o malware criava um repositório público chamado tpcp-docs na conta do GitHub da vítima e carregava os dados roubados lá.
Para persistir em um dispositivo comprometido, o malware também descartaria uma carga Python em ~/.config/systemd/user/sysmon.py e a registraria como um serviço systemd. Essa carga verificaria um servidor remoto em busca de cargas adicionais, dando ao agente da ameaça acesso persistente ao dispositivo.
Acredita-se que o ataque esteja vinculado a um ator de ameaça conhecido como TeamPCP, já que uma das cargas úteis do infostealer usadas no ataque tem um comentário "TeamPCP Cloud stealer" como a última linha do script Python.
"O malware se identifica como ladrão de nuvem TeamPCP em um comentário Python na linha final do coletor de credenciais do sistema de arquivos incorporado. TeamPCP, também rastreado como DeadCatx3, PCPcat e ShellForce, é um ator de ameaça nativo da nuvem documentado, conhecido por explorar APIs Docker mal configuradas, clusters Kubernetes, painéis Ray e servidores Redis", explica Socket.
O comentário mostrando o script foi denominado TeamPCP Cloud StealerFonte: BleepingComputer
A Aqua Security confirmou o incidente, afirmando que um agente de ameaça usou credenciais comprometidas do incidente anterior que não foram devidamente contidas.
"Esta foi uma continuação do incidente recente (01/03/2026) que exfiltrou credenciais. Nossa contenção do primeiro i
Trivy é um scanner de segurança popular que ajuda a identificar vulnerabilidades, configurações incorretas e segredos expostos em contêineres, ambientes Kubernetes, repositórios de código e infraestrutura em nuvem. Como os desenvolvedores e as equipes de segurança costumam usá-lo, é um alvo de alto valor para os invasores roubarem segredos de autenticação confidenciais.
A violação foi divulgada pela primeira vez pelo pesquisador de segurança Paul McCarty, que alertou que a versão 0.69.4 do Trivy havia sido backdoor, com imagens de contêineres maliciosas e lançamentos do GitHub publicados aos usuários.
Uma análise mais aprofundada do Socket e, posteriormente, da Wiz determinou que o ataque afetou várias ações do GitHub, comprometendo quase todas as tags de versão do repositório trivy-action.
Os pesquisadores descobriram que os agentes de ameaças comprometeram o processo de construção do GitHub do Trivy, trocando o entrypoint.sh no GitHub Actions por uma versão maliciosa e publicando binários trojanizados na versão Trivy v0.69.4, ambos atuando como infostealers no scanner principal e ações relacionadas do GitHub, incluindo trivy-action e setup-trivy.
Os invasores abusaram de uma credencial comprometida com acesso de gravação ao repositório, permitindo-lhes publicar versões maliciosas. Essas credenciais comprometidas são de uma violação anterior de março, na qual as credenciais foram exfiltradas do ambiente de Trivy e não totalmente contidas.
O agente da ameaça forçou 75 das 76 tags no repositório aquasecurity/trivy-action, redirecionando-as para commits maliciosos.
Como resultado, qualquer fluxo de trabalho externo que usasse as tags afetadas executava automaticamente o código malicioso antes de executar verificações legítimas do Trivy, dificultando a detecção do comprometimento.
Socket relata que o infostealer coletou dados de reconhecimento e escaneou sistemas para uma ampla variedade de arquivos e locais conhecidos por armazenar credenciais e segredos de autenticação, incluindo:
Dados de reconhecimento: nome do host, whoami, uname, configuração de rede e variáveis de ambiente
SSH: chaves privadas e públicas e arquivos de configuração relacionados
Configurações de nuvem e infraestrutura: credenciais Git, AWS, GCP, Azure, Kubernetes e Docker
Arquivos de ambiente: .env e variantes relacionadas
Credenciais de banco de dados: arquivos de configuração para PostgreSQL, MySQL/MariaDB, MongoDB e Redis
Arquivos de credenciais: incluindo gerenciador de pacotes e tokens de autenticação relacionados ao Vault
Configurações de CI/CD: Terraform, Jenkins, GitLab CI e arquivos semelhantes
Chaves privadas TLS
Configurações VPN
Webhooks: tokens Slack e Discord
Arquivos de histórico do shell
Arquivos de sistema: /etc/passwd, /etc/shadow e logs de autenticação
Carteiras de criptomoeda
Credenciais de coleta do Infostealer, chaves SSH e arquivos de ambienteFonte: BleepingComputer
O script malicioso também verificaria regiões de memória usadas pelo processo GitHub Actions Runner.Worker em busca da string JSON ""
Nas máquinas dos desenvolvedores, o binário Trivy trojanizado realizou coleta de dados semelhante, reunindo variáveis de ambiente, verificando arquivos locais em busca de credenciais e enumerando interfaces de rede.
Os dados coletados foram criptografados e armazenados em um arquivo chamado tpcp.tar.gz, que foi então exfiltrado para um servidor de comando e controle typosquatted em scan.aquasecurtiy[.]org.
Se a exfiltração falhasse, o malware criava um repositório público chamado tpcp-docs na conta do GitHub da vítima e carregava os dados roubados lá.
Para persistir em um dispositivo comprometido, o malware também descartaria uma carga Python em ~/.config/systemd/user/sysmon.py e a registraria como um serviço systemd. Essa carga verificaria um servidor remoto em busca de cargas adicionais, dando ao agente da ameaça acesso persistente ao dispositivo.
Acredita-se que o ataque esteja vinculado a um ator de ameaça conhecido como TeamPCP, já que uma das cargas úteis do infostealer usadas no ataque tem um comentário "TeamPCP Cloud stealer" como a última linha do script Python.
"O malware se identifica como ladrão de nuvem TeamPCP em um comentário Python na linha final do coletor de credenciais do sistema de arquivos incorporado. TeamPCP, também rastreado como DeadCatx3, PCPcat e ShellForce, é um ator de ameaça nativo da nuvem documentado, conhecido por explorar APIs Docker mal configuradas, clusters Kubernetes, painéis Ray e servidores Redis", explica Socket.
O comentário mostrando o script foi denominado TeamPCP Cloud StealerFonte: BleepingComputer
A Aqua Security confirmou o incidente, afirmando que um agente de ameaça usou credenciais comprometidas do incidente anterior que não foram devidamente contidas.
"Esta foi uma continuação do incidente recente (01/03/2026) que exfiltrou credenciais. Nossa contenção do primeiro i
#samirnews #samir #news #boletimtec #violação #do #scanner #de #vulnerabilidade #trivy #enviou #infostealer #por #meio #do #github #actions
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário