A plataforma web primária da Comissão Europeia, "europa.eu", sofreu recentemente uma violação de dados grave decorrente de um comprometimento da cadeia de suprimentos envolvendo o scanner de vulnerabilidades de código aberto popular, Trivy. Em 3 de abril de 2026, o CERT-EU publicou um aviso oficial detalhando como um ator de ameaças conhecido como TeamPCP explorou a ferramenta de integração e entrega contínua (CI/CD) comprometida para colher chaves de API da Amazon Web Services (AWS).
Linha do tempo do incidente
A violação remonta a 19 de março de 2026, quando a Comissão Europeia baixou sem saber uma versão comprometida do Trivy através de canais normais de atualização de software. De acordo com a firma de inteligência de ameaças Aqua Security, o ator de ameaças TeamPCP projetou especificamente seu código malicioso para operar dentro e infiltrar pipelines de CI/CD.
Uma vez dentro do ambiente da Comissão, o TeamPCP adquiriu com sucesso um segredo da AWS com direitos de gerenciamento sobre outras contas de nuem afiliadas. Para maximizar seu alcance, os atacantes implantaram imediatamente o TruffleHog, uma ferramenta amplamente utilizada para varrer em busca de segredos. Eles aproveitaram o TruffleHog para validar credenciais da AWS chamando o Serviço de Token de Segurança (STS).
Para manter acesso persistente e não detectado, o ator de ameaças usou o segredo da AWS comprometido para criar e anexar uma nova chave de acesso a uma conta de usuário existente antes de iniciar extensa reconhecimento. Em 24 de março, o Centro de Operações de Cibersegurança da Comissão detectou tráfego de rede anômalo e possível uso de API, acionando uma resposta imediata ao incidente.
Impacto e alcance do comprometimento
Esta ataque sofisticado levou à exfiltração de mais de 340 GB de dados não compactados, impactando severamente até 71 clientes hospedados no serviço de hospedagem web Europa. O grupo de extorsão ShinyHunters publicou subsequentemente o conjunto de dados roubado em seu site de vazamento na dark web. A análise preliminar dos arquivos vazados confirmou a exposição de dados pessoais sensíveis, incluindo nomes, sobrenomes, nomes de usuário e endereços de e-mail de usuários de várias entidades da União.
Além disso, o dump continha mais de 51.000 arquivos relacionados a comunicações de e-mail de saída. Embora a maioria desses arquivos fossem notificações de sistema automatizadas, pesquisadores notaram que mensagens de "bounce-back" frequentemente continham o conteúdo original submetido pelo usuário, criando um risco significativo de exposição mais profunda de dados pessoais.
Medidas de mitigação recomendadas
Em resposta à crescente ameaça de ataques a pipelines de CI/CD, o CERT-EU recomenda fortemente que todas as organizações abordem imediatamente o comprometimento do Trivy. As equipes de segurança devem atualizar o Trivy para uma versão conhecida de segurança, auditar implantações em todos os ambientes e rotacionar meticulosamente todos os segredos da AWS que podem ter sido expostos durante a janela de vulnerabilidade.
A Comissão Europeia já deu o exemplo, desativando rapidamente todas as chaves de acesso comprometidas, protegendo seus segredos da AWS e notificando o Supervisor Europeu de Proteção de Dados (EDPS) em conformidade com o Regulamento (UE) 2018/1725. Administradores devem restringir o acesso do pipeline de CI/CD a credenciais de nuvem, aplicando o princípio estrito de privilégio mínimo para escopar permissões adequadamente.
Perguntas frequentes
Qual foi a causa raiz do ataque?
O ataque foi iniciado através de um pacote de software comprometido (Trivy) que foi baixado durante atualizações normais, permitindo a infiltração no pipeline de CI/CD.
Quais dados foram expostos?
Mais de 340 GB de dados, incluindo informações pessoais de usuários e comunicações de e-mail de várias entidades da União Europeia.
Como prevenir ataques similares?
Implemente verificação de integridade de pacotes, restrinja permissões de CI/CD e monitore chamadas de STS para detectar uso anômalo.