Les attaquants ont exploité un scanner de vulnérabilités pour voler 350 Go de données qu’ils ont ensuite divulguées sur le dark web.
L’équipe d’intervention en cas d’urgence informatique de l’Union européenne, CERT-EU, a retracé le vol de données de la semaine dernière sur la plateforme Europa.eu jusqu’à la récente attaque de la chaîne d’approvisionnement contre le scanner de vulnérabilités open source Trivy d’Aqua Security.
L’attaque contre l’infrastructure cloud AWS hébergeant le hub Web Europa.eu le 24 mars a entraîné le vol de 350 Go de données (91,7 Go compressés), notamment des noms personnels, des adresses e-mail et des messages, selon l’analyse du CERT-EU.
La compromission de Trivy a permis aux attaquants d’accéder à une clé API AWS, accédant ainsi à une gamme de données Web de la Commission européenne, y compris des données relatives à « 42 clients internes de la Commission européenne et au moins 29 autres entités de l’Union utilisant le service », a-t-il déclaré.
« L’acteur malveillant a utilisé le secret AWS compromis pour créer et attacher une nouvelle clé d’accès à un utilisateur existant, dans le but d’échapper à la détection. Ils ont ensuite mené des activités de reconnaissance », a déclaré le CERT-EU. L’organisation n’a trouvé aucune preuve que les attaquants se soient déplacés latéralement vers d’autres comptes AWS appartenant à la Commission.
Compte tenu du timing et de l’implication des informations d’identification AWS, « la Commission européenne et le CERT-EU ont évalué avec une grande confiance que le vecteur d’accès initial était la compromission de la chaîne d’approvisionnement de Trivy, publiquement attribuée à TeamPCP par Aqua Security », a-t-il déclaré.
En l’occurrence, les données volées sont devenues publiques après que le groupe responsable de l’attaque, TeamPCP, les ait divulguées au groupe d’extorsion ShinyHunters, qui les a publiées sur le dark web le 28 mars.
Identifiants de porte dérobée
La compromission Trivy remonte à février, lorsque TeamPCP a exploité une mauvaise configuration dans l’environnement GitHub Actions de Trivy, désormais identifié comme CVE-2026-33634, pour prendre pied via un jeton d’accès privilégié, selon Aqua Security.
En découvrant cela, Aqua Security a effectué une rotation des informations d’identification, mais comme certaines informations d’identification restent valides pendant ce processus, les attaquants ont pu voler les informations d’identification nouvellement alternées.
En manipulant les balises de version Trivy fiables, TeamPCP a forcé les pipelines CI/CD à utiliser l’outil pour supprimer automatiquement les logiciels malveillants de vol d’informations d’identification qu’il avait implantés.
Cela a permis à TeamPCP de cibler une variété d’informations précieuses, notamment AWS, GCP, les informations d’identification du cloud Azure, les jetons Kubernetes, les informations d’identification du registre Docker, les mots de passe de base de données, les clés privées TLS, les clés SSH et les fichiers de portefeuille de crypto-monnaie, selon les chercheurs en sécurité de Palo Alto Networks. En effet, les attaquants avaient transformé un outil utilisé pour détecter les vulnérabilités et les erreurs de configuration du cloud en une vulnérabilité béante à part entière.
Le CERT-EU a conseillé aux organisations concernées par la compromission Trivy de mettre immédiatement à jour vers une version sûre connue, de faire pivoter tous les AWS et autres informations d’identification, d’auditer les versions Trivy dans les pipelines CI/CD et, plus important encore, de garantir que les actions GitHub sont liées à des hachages SHA-1 immuables plutôt qu’à des balises mutables.
Il recommande également de rechercher des indicateurs de compromission (IoC), tels qu’une activité inhabituelle de tunneling Cloudflare ou des pics de trafic pouvant indiquer une exfiltration de données.
Augmentation de l’extorsion
Les origines et les motivations profondes de TeamPCP, apparue fin 2025, restent floues. La fuite de données volées suggère qu’il pourrait se présenter comme une sorte de courtier d’accès initial qui vend des données et un accès au réseau au plus offrant.
Cependant, le fait que les données volées aient été transmises à un groupe majeur de ransomwares suggère que les organisations concernées seront probablement confrontées à une vague de demandes d’extorsion dans les semaines à venir.
Si tel était le cas, cela constituerait un énorme pas en arrière à une époque où les ransomwares sont sous pression et où la proportion de victimes prêtes à payer une rançon a diminué.
La compromission de Trivy, qui aurait affecté au moins 1 000 environnements SaaS, est en train de devenir rapidement l’un des incidents de chaîne d’approvisionnement les plus conséquents de ces derniers temps.
Le nombre de victimes risque d’augmenter dans les semaines à venir. Parmi les autres personnes impliquées dans l’incident figurent Cisco, qui aurait perdu le code source, la société de tests de sécurité Checkmarx et la société de passerelle IA LiteLLM.
