Cibercriminosos infectam mais de mil ambientes em nuvem durante ataque massivo

Milhares de ambientes em nuvem foram infectados por malware de roubo de credenciais depois que o grupo criminoso TeamPCP comprometeu o Trivy, scanner de código aberto mantido pela Aqua Security. O ataque foi identificado pelo pesquisador de segurança Paul McCarty no final da semana passada e ainda está em expansão.”Sabemos de mais de 1.000 ambientes SaaS afetados neste momento que estão lidando ativamente com esse agente de ameaça específico”, disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, durante um evento do Google. “Essas mais de 1.000 vítimas provavelmente se expandirão para outras 500, outras 1.000, talvez outras 10.000.”Os criminosos estão colaborando com grupos de extorsão de alto perfil, incluindo o Lapsus. “Estamos vendo uma convergência perigosa entre invasores da cadeia de suprimentos e grupos de extorsão de alto perfil como o LAPSUS$”, disse Ben Read, pesquisador-chefe da Wiz, empresa de segurança pertencente ao Google. Eles são baseados principalmente nos Estados Unidos, no Reino Unido, no Canadá e na Europa Ocidental. Por que o Trivy era um alvo valiosoO Trivy é uma ferramenta de código aberto usada para identificar vulnerabilidades, configurações incorretas e segredos expostos em ambientes de desenvolvimento. Desenvolvedores costumam integrá-lo diretamente em seus pipelines de CI/CD, sistemas automatizados de construção e publicação de software. Essa integração é o que tornava o scanner um alvo estratégico.