Los investigadores de ciberseguridad han descubierto artefactos maliciosos distribuidos a través de Docker Hub tras Trivy: ataque a la cadena de suministro , destacando la ampliación del radio de explosión en los entornos de desarrolladores.

La última versión limpia conocida de Curiosidades en Docker Hub es 0.69.3. Desde entonces, las versiones maliciosas 0.69.4, 0.69.5 y 0.69.6 se han eliminado de la biblioteca de imágenes del contenedor.

«El 22 de marzo se publicaron las nuevas etiquetas de imagen 0.69.5 y 0.69.6 sin las correspondientes versiones o etiquetas de GitHub. Ambas imágenes contienen indicadores de riesgo asociados con el mismo robo de información de TeamPCP observado en las primeras etapas de esta campaña», dijo Philipp Burckhardt, investigador de seguridad de Socket dijo .

El desarrollo se produce a raíz de una compromiso con la cadena de suministro de Trivy, un popular escáner de vulnerabilidades de código abierto mantenido por Aqua Security, que permite a los actores de amenazas aprovechar una credencial comprometida para impulsar a un ladrón de credenciales a versiones troyanizadas de la herramienta y dos GitHub Actions relacionadas, «aquasecurity/trivy-action» y «aquasecurity/setup-trivy».

adsense

El ataque ha tenido impactos posteriores, ya que los atacantes aprovecharon los datos robados para comprometer docenas de paquetes npm y distribuir un gusano que se autopropaga conocido como Lata Worm . Se cree que el incidente fue obra de un actor de amenazas rastreado como TeamPCP.

Según el equipo de OpenSourceMalware, los atacantes han desfigurado los 44 repositorios internos asociados a Aqua Security» aquasec.com «La organización de GitHub cambia el nombre de cada una de ellas con el prefijo «tpcp-docs-», establece todas las descripciones como «TeamPCP es propietario de Aqua Security» y exponiéndolas públicamente.

Se dice que todos los repositorios se modificaron en una ráfaga de 2 minutos programada entre las 20:31:07 UTC y las 20:32:26 UTC del 22 de marzo de 2026. Se ha determinado con un alto grado de confianza que el autor de la amenaza utilizó una cuenta de servicio «Argon-DevOps-MGT» comprometida para este fin.

«Nuestro análisis forense de la API de GitHub Events apunta a que el vector de ataque fue un token de cuenta de servicio comprometido (probablemente robado durante el compromiso anterior de Trivy GitHub Actions por parte de TeamPCP)», dijo el investigador de seguridad Paul McCarty dijo . «Se trata de una cuenta de servicio/bot (ID de GitHub 139343333, creada el 12 de julio de 2021) con una propiedad fundamental: conecta ambas organizaciones de GitHub».

«Un token comprometido para esta cuenta le da al atacante acceso de escritura/administración a ambas organizaciones», agregó McCarty.

El desarrollo es la última escalada de un actor de amenazas que se ha ganado la reputación de atacar infraestructuras de nube y, al mismo tiempo, ha creado capacidades para exponer de forma sistémica las API de Docker, los clústeres de Kubernetes, los paneles de Ray y los servidores Redis para robar datos, implementar ransomware, realizar extorsiones y extraer criptomonedas.

Su creciente sofisticación se ejemplifica mejor con la aparición de un nuevo malware de borradores que se propaga a través de SSH a través de claves robadas y explota las API de Docker expuestas en el puerto 2375 en toda la subred local.

Se ha descubierto que una nueva carga útil atribuida a TeamPCP va más allá del robo de credenciales y borra clústeres enteros de Kubernetes (K8) ubicados en Irán. El script shell utiliza el mismo contenedor de ICP vinculado a CanisterWorm y, a continuación, realiza comprobaciones para identificar los sistemas iraníes.

enlaces

«En Kubernetes: despliega DaemonSets privilegiados en todos los nodos, incluido el plano de control», dijo Charlie Eriksen, investigador de seguridad de Aikido dijo . «Los nodos iraníes son borrados y reiniciados por la fuerza a través de un contenedor llamado 'kamikaze'. A los nodos no iraníes se les instala la puerta trasera de CanisterWorm como servicio de systemd. Los servidores iraníes que no son de K8 reciben 'rm -rf/--no-preserve-root'».

Dada la naturaleza continua del ataque, es imperativo que las organizaciones revisen el uso de Trivy en las canalizaciones de CI/CD, eviten usar las versiones afectadas y consideren que cualquier ejecución reciente puede estar comprometida.

«Este compromiso demuestra la larga cola de los ataques a la cadena de suministro», afirma OpenSourceMalware. «Una credencial que se obtuvo durante el compromiso de Trivy GitHub Actions hace meses se utilizó hoy como arma para desfigurar a toda una organización interna de GitHub. El eslabón más débil era la cuenta de servicio Argon-DevOps-MGT, una cuenta de un único bot que unía a dos organizaciones con una PAT de larga duración».

«Desde la explotación de la nube hasta los gusanos de la cadena de suministro y los limpiadores de Kubernetes, están creando capacidades y atacando el propio ecosistema de proveedores de seguridad. La industria no debe dejar de lado la ironía de que una empresa de seguridad en la nube se vea comprometida por un agente de amenazas nativo de la nube.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.