Socket et Wiz confirment le vol généralisé d’identifiants et la propagation de type ver, avec des artefacts Trivy malveillants mis en cache circulant toujours à travers l’infrastructure miroir malgré les retraits.
Ce qui a commencé comme une attaque de chaîne d’approvisionnement contre Trivy, un scanner de sécurité largement utilisé, est devenu une campagne d’extorsion liée à Lapsus$, avec plus de 1 000 environnements SaaS d’entreprise déjà compromis.
Charles Carmakal, CTO de Mandiant Consulting, a fait cette évaluation lors d’un briefing sur les menaces hébergé par Google, organisé mardi en marge de la conférence RSA 2026 à San Francisco.
« Nous connaissons actuellement plus de 1 000 environnements SaaS touchés qui luttent activement contre cette campagne de menace particulière », a-t-il déclaré lors de l’événement, a rapporté CyberScoop. « Ce millier de victimes en aval s’étendra probablement à 500, 1 000, voire 10 000 supplémentaires. »
Selon le rapport, il a averti que des divulgations généralisées de violations et des attaques ultérieures se produiraient au cours des prochains mois.
La collaboration criminelle derrière l’attaque s’est également élargie. Alors que la violation initiale a été attribuée à un groupe de menaces cloud natif appelé TeamPCP, le travail de réponse de Mandiant a révélé que ces acteurs canalisent désormais l’accès volé à des réseaux criminels plus larges avec Lapsus$, un groupe connu pour son extorsion agressive et très médiatisée, parmi ses collaborateurs confirmés, ajoute le rapport.
Katie Paxton-Fear, défenseure de la sécurité du personnel de la société de cybersécurité Semgrep, a averti que le groupe pourrait déjà être positionné pour de nouvelles frappes. « Les attaquants pourraient s’appuyer sur de nombreuses autres compromissions dans l’écosystème open source, attendant que les gardes tombent avant de lancer la suivante », a-t-elle déclaré.
La société de sécurité cloud Wiz et la société de sécurité de la chaîne d’approvisionnement Socket ont également documenté cette expansion sur plusieurs fronts.
Élargissement du rayon de souffle
Wiz, dans son analyse technique de l’attaque, a constaté que les attaquants ont étendu leur portée à LiteLLM, une bibliothèque de middleware d’IA largement utilisée et intégrée dans une partie importante des environnements cloud, en utilisant les informations d’identification volées lors de la violation initiale de Trivy.
Socket, quant à lui, a identifié un ver auto-réplicant appelé CanisterWorm qui exploitait les jetons de publication NPM volés à partir de la même violation pour ouvrir une porte dérobée à plus de 29 packages dans l’écosystème NPM.
Les attaquants ont également déclaré publiquement leur intention de cibler d’autres projets open source, Socket signalant des messages publiés par le groupe sur Telegram narguant le secteur de la sécurité et signalant leur intention d’étendre la campagne.
Paxton-Fear a noté que le moment de l’escalade semblait calculé. « Les attaquants ont eu accès au LiteLLM pour la première fois lors de leur attaque sur Trivy la semaine dernière, mais ils ne se sont pas précipités pour attaquer alors que les défenseurs étaient déjà en état d’alerte », a-t-elle déclaré. « Au lieu de cela, ils sont restés assis sur leur accès, attendant que les défenseurs soient occupés par une grande conférence sur la sécurité. »
L’équipe de recherche sur les menaces de Socket a également identifié d’autres artefacts Trivy compromis sur Docker Hub au cours du week-end (versions 0.69.5 et 0.69.6) publiées sans les versions GitHub correspondantes et transportant la même charge utile d’infostealer. Même après la suppression, Socket a constaté que des copies en cache continuaient à circuler via l’infrastructure miroir, y compris miroir.gcr.io.
La société a également découvert que les attaquants avaient dégradé l’organisation GitHub d’Aqua Security, en renommant les 44 référentiels avec des descriptions indiquant « TeamPCP possède Aqua Security », sur la base d’instantanés archivés analysés.
« La présence de ces référentiels indique un niveau de contrôle plus profond sur l’organisation GitHub pendant la compromission », a écrit Socket dans l’analyse.
Un modèle d’accès persistant
Il s’agit du deuxième compromis affectant l’écosystème Trivy en un mois environ. Socket a identifié les versions compromises de l’extension Aqua Trivy VS Code sur OpenVSX fin février, et maintenant trivy-action, l’action GitHub officielle de Trivy pour exécuter des analyses dans les flux de travail CI/CD, a été abusée via des balises de version manipulées pour distribuer du code malveillant à travers les pipelines.
« De nombreuses organisations autorisent encore les systèmes de build et les développeurs à extraire automatiquement du code tiers depuis Internet avec un examen limité et une confiance implicite trop importante », a déclaré Michal. « La commodité et la rapidité de la fourniture de logiciels modernes ont dépassé la gouvernance. »
Isaac Evans, fondateur et PDG de Semgrep, a déclaré que l’incident montre à quel point la confiance brisée dans les pipelines peut être réexploitée. « Les défenseurs doivent adopter le même état d’esprit que les attaquants : sonder continuellement leur propre surface et vérifier l’intégrité de leurs pipelines, plutôt que de s’appuyer sur des contrôles statiques ou une confiance supposée », a-t-il déclaré.
Alors que les conséquences continuent de se faire sentir, Aqua Security et Mandiant s’efforcent toujours de contenir pleinement les dégâts.
Où en sont les choses
Dans une mise à jour de mardi, Aqua Security a déclaré avoir engagé la société de réponse aux incidents Sygnia. La révocation des informations d’identification et la rotation dans tous les environnements restent en cours. La société a soutenu que ses produits commerciaux sont architecturalement isolés de l’environnement open source compromis et ne sont pas affectés.
Selon CyberScoop, Mandiant a déclaré qu’elle n’avait pas encore déterminé comment les informations d’identification originales avaient été volées pour la première fois et pensait que le vol initial avait probablement eu lieu en dehors de l’environnement de la victime directe, éventuellement par l’intermédiaire d’un sous-traitant de processus métier ou d’une organisation partenaire.
Pour Michal d’AppOmni, l’incident est un avertissement selon lequel l’approche de l’industrie en matière de code tiers doit changer fondamentalement. « Les organisations ont besoin de contrôles plus stricts sur le code externe qu’elles autorisent, la manière dont il est approuvé, la manière dont il est épinglé et la manière dont les modifications sont surveillées avant que ce code ne soit approuvé dans les environnements de production ou connectés au SaaS », a-t-il déclaré.
