SchwachstellenMalwareSupply-Chain-Sicherheit

Trivy-Hack eskaliert: TeamPCP verbreitet Infostealer und Kubernetes-Wiper

Trivy-Hack eskaliert: TeamPCP verbreitet Infostealer und Kubernetes-Wiper
Zusammenfassung

Die Cybersicherheitscommunity warnt vor einer massiven Kompromittierung des beliebten Open-Source-Vulnerability-Scanners Trivy durch die Hackergruppe TeamPCP. Die Angreifer nutzten gestohlene Anmeldedaten, um zwischen März und März malware-verseuchte Versionen (0.69.4 bis 0.69.6) über Docker Hub zu verbreiten und damit Tausende Entwicklerumgebungen weltweit zu gefährden. Die Attacke hat sich zu einem komplexen Supply-Chain-Anschlag ausgeweitet: Nicht nur wurden der Trivy-Scanner und zugehörige GitHub Actions kompromittiert, sondern die gestohlenen Zugangsdaten ermöglichten es den Angreifern auch, dutzende npm-Pakete zu infiltrieren und einen selbstvermehrenden Wurm namens CanisterWorm zu verteilen. Besonders besorgniserregend ist die Entdeckung eines neuen Kubernetes-Wipers, der ganze Cluster löscht und über SSH sowie exponierte Docker-APIs verbreitet wird. Für deutsche Unternehmen und Behörden ist dies kritisch: Viele nutzen Trivy in ihren CI/CD-Pipelines zur Schwachstellenerkennung. Eine Kompromittierung könnte nicht nur zu Datenverlust und Systemausfällen führen, sondern auch als Einstiegstor für weitere Attacken auf Cloud-Infrastrukturen dienen. Sofortige Überprüfung und Aktualisierung sind notwendig.

Der Angriff auf Trivy offenbart ein koordiniertes und vielschichtiges Vorgehen einer hochorganisierten Cyberkriminalgruppe. TeamPCP nutzte gestohlene Anmeldedaten, um zunächst die GitHub Actions und die Docker-Hub-Container der beliebten Schwachstellen-Analysesoftware zu kompromittieren. Die letzten sauberen Versionen (0.69.3) wurden durch trojanisierte Varianten ersetzt, die einen Infostealer namens TeamPCP einschleusten.

Wie der Security-Forscher Philipp Burckhardt von Socket erläutert, waren die neuen Image-Tags 0.69.5 und 0.69.6 am 22. März ohne entsprechende GitHub-Releases gepusht worden – ein klares Zeichen für kompromittierte Systeme. Beide Container enthielten die gleichen Kompromittierungsindikatoren des bekannten TeamPCP-Infostealers.

Doch der Angriff endete nicht dort. Mit den gestohlenen Zugangsdaten infiltrierten die Kriminellen dutzende npm-Pakete, um eine selbstvermehrende Malware namens CanisterWorm zu verbreiten. Parallel beschafften sich Angreifer Zugriff auf Aqua Securitys interne GitHub-Organisation „aquasec-com”. Innerhalb von etwa zwei Minuten am 22. März wurden alle 44 Repositories umbenannt, öffentlich gemacht und mit dem Präfix „tpcp-docs-” versehen.

Securityforscher Paul McCarty identifizierte die Schwachstelle: Ein Service-Account namens „Argon-DevOps-Mgt” (GitHub ID 139343333) mit kritischen Rechten für beide GitHub-Organisationen war kompromittiert. Ein einzelnes, lang gültiges PAT (Personal Access Token) war der Schlüssel zu beiden Organisationen – eine klassische Konfigurationsschwäche.

Besonders bemerkenswert ist die Eskalation zu neuer Malware-Varianten. TeamPCP hat einen Wiper entwickelt, der sich via SSH und über offene Docker-APIs auf Port 2375 ausbreitet. Ein Shell-Script zielt gezielt auf Kubernetes-Cluster im Iran ab: Es deployt privilegierte DaemonSets auf allen Knoten, erzeugt auf iranischen Systemen Neustarts mit dem Container „kamikaze” und führt auf anderen Systemen den CanisterWorm-Backdoor als systemd-Service ein.

Die Quintessenz des Angriffs ist eine bittere Ironie: Eine Cloud-Security-Firma, die der Industrie Schutztools verkauft, wurde selbst von einer Cloud-nativen Bedrohung heimgesucht. Für deutsche Organisationen heißt das konkret: Sofortige Überprüfung aller Trivy-Installationen in CI/CD-Pipelines, Deinstallation der betroffenen Versionen und Behandlung aller jüngsten Ausführungen als potentiell kompromittiert.

Ähnliche Artikel