Os hackers TeamPCP por trás do ataque à cadeia de suprimentos Trivy continuaram a visar a Aqua Security, empurrando imagens Docker maliciosas e sequestrando a organização GitHub da empresa para manipular dezenas de repositórios. Este incidente representa uma escalada significativa na segurança da cadeia de suprimentos de software, afetando diretamente desenvolvedores e operações de DevSecOps que dependem de ferramentas de análise de vulnerabilidades.
Descoberta e escopo da campanha
O ataque à cadeia de suprimentos Trivy foi descoberto e investigado por especialistas em segurança que notaram atividades anômalas nos repositórios oficiais e nas imagens do Docker. A equipe de resposta a incidentes da Aqua Security identificou que a organização GitHub havia sido comprometida, permitindo que os atacantes alterassem o código fonte e implantassem versões maliciosas das ferramentas.
A extensão do ataque é preocupante, pois o Trivy é amplamente utilizado em pipelines de CI/CD para escanear imagens de contêiner e repositórios de código em busca de vulnerabilidades. A manipulação dessas ferramentas pode resultar na introdução de vulnerabilidades não detectadas em ambientes de produção ou na execução de código malicioso durante os processos de build.
Vetor de ataque e exploração
Os atacantes utilizaram credenciais comprometidas para acessar a organização GitHub da Aqua Security. Uma vez dentro, eles modificaram os repositórios para incluir backdoors e malwares que seriam executados quando os usuários baixassem as ferramentas. Além disso, imagens Docker maliciosas foram empurradas para o Docker Hub, potencialmente infectando ambientes de contêiner que puxam essas imagens.
O vetor de ataque explora a confiança que os desenvolvedores depositam nas ferramentas de código aberto e nos repositórios oficiais. Ao comprometer a fonte de distribuição, os atacantes garantem que suas cargas úteis maliciosas sejam distribuídas para uma base de usuários ampla e diversificada.
Impacto e alcance
O impacto deste ataque é significativo, pois afeta a integridade de ferramentas críticas de segurança. Organizações que dependem do Trivy para análise de vulnerabilidades podem estar operando com uma falsa sensação de segurança se estiverem usando versões comprometidas.
A extensão do ataque também levanta preocupações sobre a segurança dos processos de desenvolvimento e distribuição de software. A capacidade dos atacantes de manipular repositórios oficiais sugere falhas nos controles de acesso e monitoramento de atividades.
Análise técnica detalhada
A análise forense revelou que os atacantes mantiveram acesso persistente à organização GitHub por um período prolongado. Eles utilizaram técnicas de ofuscação para esconder suas modificações no código e nas imagens Docker. A detecção requer uma verificação rigorosa das assinaturas de commit e da integridade das imagens.
Os atacantes também exploraram a confiança nas dependências de software, inserindo pacotes maliciosos que seriam instalados automaticamente durante o processo de build. Isso destaca a necessidade de verificação de integridade em todas as etapas da cadeia de suprimentos.
Medidas de mitigação recomendadas
As organizações devem verificar imediatamente a integridade de suas instalações do Trivy e revisar os logs de acesso aos repositórios GitHub. É crucial implementar verificações de assinatura de código e monitoramento de atividades anômalas nos pipelines de CI/CD.
A atualização para as versões mais recentes e verificadas das ferramentas é essencial. Além disso, a adoção de práticas de segurança de cadeia de suprimentos, como a verificação de dependências e o uso de repositórios privados, pode ajudar a mitigar riscos futuros.
Perguntas frequentes
Qual é o risco principal? O risco principal é a introdução de vulnerabilidades e malwares em ambientes de produção através de ferramentas comprometidas.
Como identificar a infecção? Monitore alterações não autorizadas nos repositórios e verifique a integridade das imagens Docker.
Qual a recomendação imediata? Atualize as ferramentas para versões verificadas e revise os logs de acesso.