Une attaque exceptionnelle a été révélée récemment dans le domaine de la cybersécurité, impliquant la compromission de Trivy, un scanner de vulnérabilités open source largement utilisé dans les pipelines CI/CD. Maintenu par Aqua Security, cet outil, essentiel pour la détection de failles et de secrets exposés dans le code, s’est retrouvé au cœur d’un scénario d’attaque sophistiqué orchestré par un groupe de pirates, connu sous le nom de TeamPCP. La faille a permis aux assaillants d’injecter un malware dans la version 0.69.4 de Trivy, exploitant une simple configuration incorrecte dans le composant GitHub Action associé au projet.
Les conséquences ont été rapides et étendues : plus de 1 000 environnements SaaS, selon Mandiant (la branche cybersécurité de Google), auraient été infectés par un malware conçu pour voler des clés API, des identifiants cloud et des tokens GitHub. Dès février, les pirates ont réussi à voler un token privilégié, qui est resté actif sans être révoqué, leur permettant par la suite de pousser du code malveillant dans le dépôt officiel de Trivy en mars. Résultat : la majorité des tags de la version vulnérable ont été remplacés par des versions vérolées, compromettant potentiellement des milliers d’utilisateurs.
“Un simple token oublié a suffi pour compromettre toute la chaîne de sécurité, révélant la faiblesse des protections dans des projets open source critiques.”
Mais l’attaque ne s’est pas limitée à Trivy : le groupe a également ciblé liteLLM, une bibliothèque Python utilisée dans plus de 36 % des environnements cloud, ainsi que KICK, un outil d’analyse statique de Checkmarx. Par ailleurs, ils ont déployé CanisterWorm, un ver propagé via des paquets npm vérolés, destiné à voler des informations sensibles dans les environnements de développement. Ces opérations coordonnées montrent une volonté claire de viser systématiquement les outils de développement pour maximiser la contamination et l’impact.
Lors de la conférence RSA, ces révélations ont suscité une vive inquiétude dans la communauté cybersecurity. Le fait qu’un outil de sécurité open source devienne un vecteur d’attaque majeur illustre la vulnérabilité des projets critiques, souvent peu protégés face à des menaces de cette ampleur. La compromission de plus d’un millier d’environnements, avec un potentiel d’extension à 10 000, souligne l’urgence de renforcer la sécurité des outils open source et de revoir la gestion des tokens d’accès privilégiés.
En résumé, cette affaire met en lumière le paradoxe suivant : un outil censé renforcer la sécurité devient une porte d’entrée pour des attaques à grande échelle si ses protections de base sont négligées. La dépendance croissante aux logiciels open source dans l’infrastructure mondiale de l’IT nécessite une vigilance accrue et des mesures de sécurité renforcées pour éviter que de telles vulnérabilités ne deviennent des catastrophes systémiques.
