Los investigadores de ciberseguridad han descubierto artefactos maliciosos distribuidos a través de Docker Hub luego del ataque a la cadena de suministro de Trivy, destacando el creciente radio de explosión en los entornos de desarrolladores.
La última versión limpia conocida de Trivy en Docker Hub es 0.69.3. Desde entonces, las versiones maliciosas 0.69.4, 0.69.5 y 0.69.6 se eliminaron de la biblioteca de imágenes del contenedor.
«Las nuevas etiquetas de imagen 0.69.5 y 0.69.6 fueron publicadas el 22 de marzo sin las correspondientes versiones o etiquetas de GitHub. Ambas imágenes contienen indicadores de compromiso asociados con el mismo ladrón de información de TeamPCP observado en etapas anteriores de esta campaña», dijo el investigador de seguridad de Socket, Philipp Burckhardt.
El desarrollo se produce a raíz de un compromiso de la cadena de suministro de Trivy, un popular escáner de vulnerabilidades de código abierto mantenido por Aqua Security, que permite a los actores de amenazas aprovechar una credencial comprometida para impulsar a un ladrón de credenciales dentro de versiones troyanizadas de la herramienta y dos acciones de GitHub relacionadas «aquasecurity/trivy-action» y «aquasecurity/setup-trivy».
El ataque ha tenido impactos posteriores, ya que los atacantes aprovecharon los datos robados para comprometer docenas de paquetes npm y distribuir un gusano autopropagante conocido como CanisterWorm. Se cree que el incidente es obra de un actor de amenazas rastreado como TeamPCP.
Según el equipo de OpenSourceMalware, los atacantes han desfigurado los 44 repositorios internos asociados con la organización GitHub «aquasec-com» de Aqua Security cambiando el nombre de cada uno de ellos con un prefijo «tpcp-docs-«, estableciendo todas las descripciones en «TeamPCP posee Aqua Security» y exponiéndolos públicamente.
Se dice que todos los repositorios se modificaron en una ráfaga programada de 2 minutos entre las 20:31:07 UTC y las 20:32:26 UTC del 22 de marzo de 2026. Se ha evaluado con alta confianza que el actor de amenazas aprovechó una cuenta de servicio «Argon-DevOps-Mgt» comprometida para este propósito.
«Nuestro análisis forense de la API de GitHub Events apunta a un token de cuenta de servicio comprometido, probablemente robado durante el compromiso anterior de Trivy GitHub Actions de TeamPCP, como vector de ataque», dijo el investigador de seguridad Paul McCarty. «Esta es una cuenta de servicio/bot (ID de GitHub 139343333, creada el 12 de julio de 2023) con una propiedad crítica: une ambas organizaciones de GitHub».
«Un token comprometido para esta cuenta le da al atacante acceso de escritura/administración a ambas organizaciones», agregó McCarty.
El desarrollo es la última escalada de un actor de amenazas que se ha ganado una reputación por apuntar a infraestructuras de nube, mientras construye progresivamente capacidades para exponer sistemáticamente las API de Docker, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis para robar datos, implementar ransomware, realizar extorsión y extraer criptomonedas.
Su creciente sofisticación se ejemplifica mejor con la aparición de un nuevo malware de limpieza que se propaga a través de SSH a través de claves robadas y explota las API de Docker expuestas en el puerto 2375 en toda la subred local.
Se ha descubierto que una nueva carga útil atribuida a TeamPCP va más allá del robo de credenciales y borra clústeres completos de Kubernetes (K8) ubicados en Irán. El script de shell utiliza el mismo recipiente ICP vinculado a CanisterWorm y luego ejecuta comprobaciones para identificar los sistemas iraníes.
«En Kubernetes: despliega DaemonSets privilegiados en cada nodo, incluido el plano de control», dijo el investigador de seguridad de Aikido, Charlie Eriksen. «Los nodos iraníes se borran y se reinician a la fuerza a través de un contenedor llamado ‘kamikaze’. Los nodos no iraníes instalan la puerta trasera CanisterWorm como un servicio systemd. Los hosts iraníes que no son K8 obtienen ‘rm -rf / –no-preserve-root'».
Dada la naturaleza continua del ataque, es imperativo que las organizaciones revisen su uso de Trivy en las canalizaciones de CI/CD, eviten el uso de versiones afectadas y traten cualquier ejecución reciente como potencialmente comprometida.
«Este compromiso demuestra la larga cola de ataques a la cadena de suministro», dijo OpenSourceMalware. «Una credencial obtenida durante el compromiso de Trivy GitHub Actions hace meses fue utilizada como arma hoy para desfigurar toda una organización interna de GitHub. La cuenta de servicio Argon-DevOps-Mgt, una única cuenta de bot que une dos organizaciones con un PAT de larga duración, era el eslabón débil».
«Desde la explotación de la nube hasta los gusanos de la cadena de suministro y los limpiadores de Kubernetes, están creando capacidades y apuntando al propio ecosistema de proveedores de seguridad. La ironía de que una empresa de seguridad en la nube se vea comprometida por un actor de amenazas nativo de la nube no debe pasar desapercibida para la industria.