Съобщава се за сериозен пробив в сигурността на Европейската комисия, причинен от supply chain атака чрез отравяне (poisoning) на популярния open-source инструмент Trivy.

Какво ни е известно?
На 19 март 2026 Европейската комисия автоматично е изтеглила компрометирана версия на Trivy (по-точно от GitHub actions trivy-action).
Хакерската група TeamPCP (известна още като DeadCatx3, PCPcat, ShellForce) е използвала остатъчен достъп след предишно пробиване на хранилището на Trivy в края на февруари. Злонамерен код е качен в 76 от 77 версии на trivy-action.
Когато инструментът се е изпълнил в pipeline-а на Комисията, malware-ът се е добрал до AWS API ключ, с който хакерите са получили достъп до облачната инфраструктура на Комисията в Amazon Web Services.
Между 19 и 27 март групата е провела систематична кампания, като е атакувала и други open-source инструменти за сигурност (Checkmarx KICS и LiteLLM).

В резултат хакерите са свалили 92GB компресирани данни (около 340GB некомпресирани).
Почти 52,000 файла, включително изходящи имейли, списъци с имена, потребителски имена и имейл адреси.

Данните са от уебсайтове, хоствани за до 71 клиента на услугата Europa.eu web hosting – 42 вътрешни клиента на Европейската комисия и поне 29 други институции на ЕС (включително European Medicines Agency, European Banking Authority, ENISA, Frontex и редица други).

Пробивът е забелязан като на 24 март (5 дни по-късно) Центърът за киберсигурност на Комисията забелязва аномалии в използването на AWS API и необичаен скок в мрежовия трафик.
На 27 март Комисията публично съобщава за инцидента.

Данните са публикувани в dark web от групата ShinyHunters.

Хакерите са били изключително методични.
Създали са нов access key и са го прикрепили към съществуващ IAM потребител (Identity and Access Management) вместо да използват директно откраднатия ключ.
След това са се заели с подробно разузнаване на цялата AWS среда: IAM users и IAM roles — за да видят кои акаунти и роли с какви права разполагат:
EC2 instances (виртуални машини)
Lambda функции
RDS databases (бази данни)
S3 buckets (хранилища за файлове)
Route 53 hosted zones (DNS)
ECS clusters (контейнери) — като са се фокусирали върху task definitions, за да намерят контейнери, които са могли да се достъпят директно.

Целта е била намиране на по-високи привилегии. След това са направили bulk exfiltration (масово източване) главно от AWS Secrets Manager.
Това е класическа техника при облачни атаки — първо разбираш "картата" на акаунта (кой какво може), после крадеш.


В процеса е използван инструмент, наречен TruffleHog.
TruffleHog е open-source софтуер, който сканира за "hardcoded" (вписани директно в кода или файловете) удостоверения и ключове.
В атаката инструмента е използван от хакерите за да проверят дали още работят откраднатите AWS credentials (като се обръщат към AWS Security Token Service – STS) и да търсят допълнителни "тайни"/secrets в средата на Европейската комисия.
Конкретно в случая тези тайни включват:
AWS access keys и secret keys
Други cloud credentials (GCP, Azure и т.н., ако има)
Database connection strings (потребител/парола за RDS или други БД) API keys за различни услуги
SSH keys, GitHub tokens, Kubernetes tokens
OAuth tokens, пароли и всякакви чувствителни данни, които са оставени в код, env файлове, конфигурации или в паметта на процесите

В malware от самия компрометиран Trivy (който е вече е "cloud stealer") е имало и по-ниско ниво събиране на данни:
Сканиране на файловата система за над 50 чувствителни пътища (.aws/credentials, .env, .kube/config, SSH ключове и т.н.).
Четене на паметта на процесите (/proc/*/mem) за да се измъкнат декриптирани secrets, които са в RAM (дори ако GitHub маскира логовете).

С две думи, търсили са всичко, което може да им даде още достъп — допълнителни AWS ключове, пароли за бази данни, токени за други системи и т.н.
Последователността на атаката е била приблизително следната:
Получаване на начален AWS API key от Trivy malware.
Пускане на TruffleHog, валидиране на ключа, търсене на още secrets.
Създаване на нов ключ за достъп и прикачването му към съществуващ потребител (за да не се набива на очи).
Изброяване на IAM roles/users и всички други ресурси.
Фокусиране върху Secrets Manager и ECS и масово източване данни (~92GB компресирани).


Това е показно за много методична и професионална cloud атака, типична за supply-chain кампаниите на TeamPCP.

Класически пример за supply chain атака – хакерите не атакуват директно Комисията, а компрометират инструмент за сигурност (Trivy), който тя използва, за да се защитава. В публикацията се подчертава , колко опасна е зависимостта на правителства и големи организации от open-source инструменти и колко крехка е веригата на доставка в софтуерната сигурност.
В статията от която е взета информацията за публикацията тук се цитират CERT-EU, които официално приписват атаката на TeamPCP и публикуването на данните от ShinyHunters.

Източник: https://thenextweb.com/news/european-commission-breach-trivy-supply-chain
Използвани са и други източници за допълнителни подробности и разяснения (главно по терминологията - не съм професионалист в областта) - за което моля за извинение, ако има неточности относно AWS и облачните услуги като цяло.