Cybersecurity-onderzoekers hebben kwaadaardige artefacten ontdekt die via Docker Hub zijn verspreid na de Trivy supply chain-aanval, wat de steeds groter wordende explosieradius in ontwikkelaarsomgevingen benadrukt.
De laatst bekende schone release van Trivy op Docker Hub is 0.69.3. De kwaadaardige versies 0.69.4, 0.69.5 en 0.69.6 zijn sindsdien verwijderd uit de containerimagebibliotheek.
“Nieuwe afbeeldingstags 0.69.5 en 0.69.6 werden op 22 maart gepusht zonder overeenkomstige GitHub-releases of tags. Beide afbeeldingen bevatten indicatoren van compromissen die verband houden met dezelfde TeamPCP-infostealer die in eerdere fasen van deze campagne werd waargenomen”, aldus Socket-beveiligingsonderzoeker Philipp Burckhardt.
De ontwikkeling komt in de nasleep van een compromis in de toeleveringsketen van Trivy, een populaire open-source kwetsbaarheidsscanner die wordt onderhouden door Aqua Security, waardoor de bedreigingsactoren een gecompromitteerde inloggegevens kunnen gebruiken om een inloggegevensdief binnen getrojaniseerde versies van de tool en twee gerelateerde GitHub-acties “aquasecurity/trivy-action” en “aquasecurity/setup-trivy” te pushen.
De aanval heeft gevolgen gehad verderop in de keten, waarbij de aanvallers de gestolen gegevens hebben gebruikt om tientallen npm-pakketten te compromitteren en zo een zichzelf voortplantende worm te verspreiden die bekend staat als CanisterWorm. Er wordt aangenomen dat het incident het werk is van een bedreigingsacteur die wordt gevolgd als TeamPCP.
Volgens het OpenSourceMalware-team hebben de aanvallers alle 44 interne repository’s die verband houden met Aqua Security’s “aquasec-com” GitHub-organisatie onleesbaar gemaakt door ze allemaal te hernoemen met een “tpcp-docs-” voorvoegsel, alle beschrijvingen in te stellen op “TeamPCP Owns Aqua Security” en ze openbaar te maken.
Er wordt gezegd dat alle opslagplaatsen zijn aangepast in een script van twee minuten tussen 20:31:07 UTC en 20:32:26 UTC op 22 maart 2026. Er is met groot vertrouwen vastgesteld dat de bedreigingsacteur voor dit doel gebruik heeft gemaakt van een gecompromitteerd “Argon-DevOps-Mgt”-serviceaccount.
“Onze forensische analyse van de GitHub Events API wijst op een gecompromitteerd serviceaccounttoken – waarschijnlijk gestolen tijdens TeamPCP’s eerdere Trivy GitHub Actions-compromis – als aanvalsvector”, aldus beveiligingsonderzoeker Paul McCarty. “Dit is een service/bot-account (GitHub ID 139343333, gemaakt op 12-07-2023) met een kritieke eigenschap: het overbrugt beide GitHub-organisaties.”
“Eén gecompromitteerd token voor dit account geeft de aanvaller schrijf-/beheerderstoegang tot beide organisaties”, voegde McCarty eraan toe.
De ontwikkeling is de nieuwste escalatie van een bedreigingsacteur die een reputatie heeft opgebouwd voor het aanvallen van cloudinfrastructuren, terwijl hij geleidelijk mogelijkheden opbouwt voor systemisch blootgestelde Docker API’s, Kubernetes-clusters, Ray-dashboards en Redis-servers om gegevens te stelen, ransomware in te zetten, afpersing uit te voeren en cryptocurrency te minen.
Hun groeiende verfijning wordt het best geïllustreerd door de opkomst van een nieuwe wiper-malware die zich via SSH verspreidt via gestolen sleutels en misbruik maakt van blootgestelde Docker API’s op poort 2375 in het lokale subnet.
Er is gebleken dat een nieuwe lading toegeschreven aan TeamPCP verder gaat dan diefstal van inloggegevens en het wissen van volledige Kubernetes (K8s)-clusters in Iran. Het shellscript gebruikt dezelfde ICP-canister die is gekoppeld aan CanisterWorm en voert vervolgens controles uit om Iraanse systemen te identificeren.
“Op Kubernetes: implementeert bevoorrechte DaemonSets op elk knooppunt, inclusief het besturingsvlak”, zei Aikido-beveiligingsonderzoeker Charlie Eriksen. “Iraanse knooppunten worden gewist en geforceerd opnieuw opgestart via een container met de naam ‘kamikaze.’ Niet-Iraanse knooppunten krijgen de CanisterWorm-achterdeur geïnstalleerd als een systemd-service. Niet-K8s Iraanse hosts krijgen ‘rm -rf / –no-preserve-root.'”
Gezien de aanhoudende aard van de aanval is het absoluut noodzakelijk dat organisaties hun gebruik van Trivy in CI/CD-pijplijnen herzien, het gebruik van getroffen versies vermijden en recente uitvoeringen als mogelijk gecompromitteerd behandelen.
“Dit compromis toont de lange staart van supply chain-aanvallen aan”, aldus OpenSourceMalware. “Een inloggegevens die maanden geleden tijdens het Trivy GitHub Actions-compromis waren verzameld, werden vandaag als wapen gebruikt om een hele interne GitHub-organisatie te beschadigen. Het Argon-DevOps-Mgt-serviceaccount – een enkel botaccount dat twee organisaties met een langlevende PAT overbrugde – was de zwakke schakel.”
“Van cloud-exploitatie tot supply chain-wormen tot Kubernetes-wissers: ze bouwen capaciteit op en richten zich op het ecosysteem van de beveiligingsleverancier zelf. De ironie van een cloudbeveiligingsbedrijf dat wordt gecompromitteerd door een cloud-native dreigingsactor mag niet verloren gaan in de sector.
