Des millions de pipelines de d\u00e9veloppement logiciel automatis\u00e9s s\u2019appuient sur des outils de s\u00e9curit\u00e9, comme Trivy et Checkmarx AST, int\u00e9gr\u00e9s au processus de compilation. Et ce sont pr\u00e9cis\u00e9ment ces solutions r\u00e9put\u00e9es fiables qui ont r\u00e9cemment servi de point d\u2019entr\u00e9e \u00e0 l\u2019une des attaques les plus importantes et les plus dangereuses jamais perp\u00e9tr\u00e9es contre les cha\u00eenes d\u2019approvisionnement<\/u>. Dans cet article, nous expliquons comment auditer les flux de travail automatis\u00e9s et s\u00e9curiser l\u2019infrastructure cloud d\u2019une entreprise.<\/p>\nChronologie de l\u2019attaque et cons\u00e9quences connues<\/h2>\n
Le 19\u00a0mars, une attaque cibl\u00e9e contre la cha\u00eene d\u2019approvisionnement a \u00e9t\u00e9 men\u00e9e via Trivy, un outil open source d\u2019analyse des vuln\u00e9rabilit\u00e9s largement utilis\u00e9 dans les pipelines CI\/CD. Les pirates, un groupe connu sous le nom de TeamPCP, ont r\u00e9ussi \u00e0 injecter un programme malveillant dans les images Docker et les flux de travail officiels GitHub Actions associ\u00e9s \u00e0 Trivy. En cons\u00e9quence, chaque analyse automatis\u00e9e du pipeline d\u00e9clenchait un programme malveillant qui d\u00e9robait des cl\u00e9s SSH, des jetons d\u2019acc\u00e8s au cloud, des portefeuilles de cryptomonnaies ainsi que d\u2019autres donn\u00e9es pr\u00e9cieuses sur les syst\u00e8mes compromis. Compte tenu du caract\u00e8re critique de l\u2019incident, celui-ci s\u2019est vu attribuer l\u2019identifiant CVE-2026-33634<\/a>, avec un score CVSS4B de 9,4, soit un score proche du maximum.<\/p>\n Plus tard dans la journ\u00e9e, l\u2019\u00e9quipe de Trivy a d\u00e9tect\u00e9 l\u2019attaque et supprim\u00e9 les \u00e9l\u00e9ments malveillants des canaux de distribution, mettant ainsi fin \u00e0 cette phase de l\u2019attaque. Cependant, les pirates avaient d\u00e9j\u00e0 r\u00e9ussi \u00e0 s\u2019introduire dans les environnements de nombreux utilisateurs de Trivy.<\/p>\n Le 23\u00a0mars, un incident similaire<\/a> a \u00e9t\u00e9 d\u00e9couvert dans un autre outil de s\u00e9curit\u00e9 des applications\u00a0: une GitHub Action pour Checkmarx KICS et pour Checkmarx AST. Trois heures plus tard, le code malveillant y avait aussi \u00e9t\u00e9 supprim\u00e9. TeamPCP a \u00e9galement r\u00e9ussi \u00e0 compromettre les extensions OpenVSX<\/a> prises en charge par Checkmarx\u00a0: cx-dev-assist<\/em> 1.7.0 et ast-results<\/em>. Les informations divergent quant \u00e0 la date de r\u00e9solution de cette partie de l\u2019incident.<\/p>\n Le 24\u00a0mars dernier, un projet tr\u00e8s populaire utilisant l\u2019analyse de code de Trivy, la passerelle d\u2019IA LiteLLM (une biblioth\u00e8que universelle permettant d\u2019acc\u00e9der \u00e0 divers fournisseurs LLM), a fait l\u2019objet d\u2019une attaque. Les versions\u00a01.82.7 et 1.82.8 t\u00e9l\u00e9charg\u00e9es dans le d\u00e9p\u00f4t PyPI ont \u00e9t\u00e9 compromises. Ces versions ont \u00e9t\u00e9 accessibles au public pendant environ cinq heures.<\/p>\n Toutefois, le fait que l\u2019attaque n\u2019ait dur\u00e9 que quelques heures n\u2019est pas une raison pour la minimiser. Compte tenu de la popularit\u00e9 des projets concern\u00e9s, le code malveillant pourrait avoir \u00e9t\u00e9 ex\u00e9cut\u00e9 des milliers de fois, y compris au sein de l\u2019infrastructure de tr\u00e8s grandes entreprises.<\/p>\n Les pirates ont ainsi pu installer des portes d\u00e9rob\u00e9es persistantes dans des clusters Kubernetes, mais aussi lancer le ver CanisterWorm<\/a>, capable de se r\u00e9pliquer automatiquement, \u00e0 travers l\u2019\u00e9cosyst\u00e8me npm de JavaScript.<\/p>\n Le code des pirates pr\u00e9sente des capacit\u00e9s destructrices<\/a> qui effacent un cluster Kubernetes et tous ses n\u0153uds s\u2019il d\u00e9tecte soit le fuseau horaire de T\u00e9h\u00e9ran, soit le farsi comme langue principale sur le syst\u00e8me compromis. Dans d\u2019autres r\u00e9gions, le programme malveillant se contente de voler des donn\u00e9es \u00e0 l\u2019aide du ver CanisterWorm.<\/p>\n Selon les experts, plus de 20\u00a0000\u00a0d\u00e9p\u00f4ts sont consid\u00e9r\u00e9s comme \u00e9tant potentiellement vuln\u00e9rables. Les pirates affirment avoir d\u00e9rob\u00e9 des centaines de gigaoctets de donn\u00e9es et plus d\u2019un demi-million de comptes<\/a>.<\/p>\n Pour pirater Trivy, les pirates ont utilis\u00e9 des identifiants d\u00e9rob\u00e9s lors d\u2019un incident pr\u00e9c\u00e9dent. La pr\u00e9c\u00e9dente compromission de Trivy<\/a>, survenue fin f\u00e9vrier, n\u2019avait probablement pas \u00e9t\u00e9 totalement ma\u00eetris\u00e9e, et les pirates (le m\u00eame groupe TeamPCP) sont revenus \u00e0 la charge avec une nouvelle attaque. Selon les d\u00e9veloppeurs<\/a> de Trivy, Aqua Security, \u00e9tant donn\u00e9 que les identifiants \u00e9taient progressivement supprim\u00e9s \u00e0 la suite de l\u2019incident pr\u00e9c\u00e9dent, les pirates auraient \u00e9t\u00e9 en mesure de g\u00e9n\u00e9rer de nouveaux jetons d\u2019acc\u00e8s avant que les anciens, compromis, n\u2019aient \u00e9t\u00e9 r\u00e9voqu\u00e9s.<\/p>\n Le groupe TeamPCP a donc pu compromettre les GitHub Actions utilis\u00e9es dans les pipelines CI\/CD. \u00c0 l\u2019aide d\u2019identifiants dot\u00e9s de droits d\u2019\u00e9criture de tags, les pirates ont modifi\u00e9 de force 76 des 77\u00a0tags de version dans le r\u00e9pertoire aquasecurity\/trivy-action, ainsi que les sept tags du r\u00e9pertoire aquasecurity\/setup-trivy, redirigeant ainsi les versions fiables existantes vers des commits malveillants. On retrouve ici des tactiques observ\u00e9es lors de la campagne Shai-Hulud\u00a02.0<\/a>. Ainsi, les flux de travail tout au long du pipeline ont commenc\u00e9 \u00e0 ex\u00e9cuter le code des pirates, alors que les m\u00e9tadonn\u00e9es de la version ne pr\u00e9sentaient aucun changement visible.<\/p>\n Parall\u00e8lement, les pirates ont publi\u00e9 une version binaire infect\u00e9e de Trivy (v0.69.4) sur les canaux de distribution officiels, notamment GitHub Releases et les registres de conteneurs.<\/p>\n La compromission de LiteLLM, l\u2019outil populaire d\u2019acc\u00e8s aux mod\u00e8les de langage, pourrait \u00e0 elle seule d\u00e9clencher une vague massive d\u2019attaques \u00e0 travers l\u2019ensemble des projets qui l\u2019utilisent. L\u2019attaque a eu lieu le 24\u00a0mars\u00a02026, lorsque TeamPCP a directement publi\u00e9 des versions malveillantes de la biblioth\u00e8que (1.82.7 et 1.82.8) sur PyPI. Entre 10\u00a0h\u00a039 UTC et 16\u00a0h\u00a000 UTC, ces paquets compromis contenaient des programmes malveillants qui volaient des identifiants. Ces virus \u00e9taient int\u00e9gr\u00e9s au fichier proxy_server.py<\/em>, et la version\u00a01.82.8 contenait \u00e9galement un fichier litellm_init<\/em> malveillant. Les donn\u00e9es vol\u00e9es ont \u00e9t\u00e9 transf\u00e9r\u00e9es vers le serveur models.litellm[.]cloud<\/em>.<\/p>\n Les clients utilisant LiteLLM Cloud ou l\u2019image Docker officielle de LiteLLM Proxy n\u2019ont pas \u00e9t\u00e9 affect\u00e9s en raison du verrouillage strict des versions, tandis que les d\u00e9veloppeurs et les projets en aval ayant install\u00e9 des versions non verrouill\u00e9es via pip pendant la p\u00e9riode indiqu\u00e9e ont \u00e9t\u00e9 compromis.<\/p>\n En l\u2019espace de trois heures, les paquets malveillants ont \u00e9t\u00e9 supprim\u00e9s du d\u00e9p\u00f4t PyPI, et l\u2019\u00e9quipe LiteLLM a suspendu les nouvelles versions, renouvel\u00e9 les identifiants d\u2019acc\u00e8s et mis en place une proc\u00e9dure externe de gestion des incidents. Il est recommand\u00e9 aux \u00e9quipes qui utilisent LiteLLM dans leurs projets de v\u00e9rifier d\u00e8s que possible la pr\u00e9sence de l\u2019indicateur de compromission litellm_init.pth<\/em> et de remplacer r\u00e9guli\u00e8rement tous les secrets potentiellement compromis.<\/p>\n Les pirates ont ajout\u00e9 une nouvelle logique aux GitHub Actions et \u00e0 l\u2019ex\u00e9cutable Trivy tout en conservant les fonctionnalit\u00e9s d\u2019origine. Les r\u00e9sultats de l\u2019analyse de vuln\u00e9rabilit\u00e9 effectu\u00e9e via Trivy semblaient normaux, mais en r\u00e9alit\u00e9, des donn\u00e9es sensibles \u00e9taient recherch\u00e9es et extraites. Le code malveillant effectuait les op\u00e9rations suivantes\u00a0:<\/p>\n Les donn\u00e9es collect\u00e9es ont \u00e9t\u00e9 chiffr\u00e9es puis t\u00e9l\u00e9charg\u00e9es sur un serveur dont le nom ressemblait \u00e0 celui des d\u00e9veloppeurs de Trivy (scan.aquasecurtiy[.]org<\/em>). En guise de solution de secours, les pirates ont fourni une m\u00e9thode permettant de t\u00e9l\u00e9charger des donn\u00e9es vers un d\u00e9p\u00f4t nomm\u00e9 docs-tpcp<\/em>.<\/p>\n L\u2019attaque contre CheckMarx et LiteLLM a utilis\u00e9 une tactique semblable \u00e0 celle employ\u00e9e pour d\u2019autres domaines de typosquattage\u00a0: models.litellm[.]cloud<\/em> et checkmarx[.]zone<\/em>.<\/p>\n Vous trouverez une analyse technique d\u00e9taill\u00e9e du programme malveillant, ainsi que les indicateurs de compromission, dans l\u2019article r\u00e9dig\u00e9 par notre expert sur le blog de Securelist<\/a>.<\/p>\n Les v\u00e9rifications bas\u00e9es sur les signatures et l\u2019analyse des d\u00e9pendances actuellement utilis\u00e9es dans les registres publics ne suffisent plus, car le code malveillant a \u00e9t\u00e9 inject\u00e9 directement dans des actions fiables et sign\u00e9es, et a \u00e9chapp\u00e9 \u00e0 la d\u00e9tection jusqu\u2019\u00e0 ce qu\u2019une surveillance comportementale soit mise en place. Les pipelines CI\/CD sont d\u00e9sormais le \u00ab\u00a0nouveau p\u00e9rim\u00e8tre\u00a0\u00bb de s\u00e9curit\u00e9.<\/p>\n Mesures imm\u00e9diates. <\/strong>Assurez-vous que tous les flux de travail utilisent des versions s\u00e9curis\u00e9es (binaire Trivy 0.69.3, trivy-action 0.35.0, setup-trivy 0.2.6).<\/p>\n Les administrateurs de pipelines CI\/CD et les \u00e9quipes de s\u00e9curit\u00e9 doivent imm\u00e9diatement passer en revue leurs d\u00e9pendances vis-\u00e0-vis des solutions Checkmarx (kics-github-action, ast-github-action) et Trivy (setup-trivy et trivy-action). Si les flux de travail faisaient r\u00e9f\u00e9rence \u00e0 un tag de version plut\u00f4t qu\u2019\u00e0 un hachage SHA particulier, passez attentivement en revue les journaux d\u2019ex\u00e9cution de vos flux de travail pour la p\u00e9riode durant laquelle l\u2019attaque de la cha\u00eene d\u2019approvisionnement \u00e9tait active.<\/p>\n Nous vous recommandons \u00e9galement de v\u00e9rifier vos journaux r\u00e9seau pour d\u00e9tecter tout trafic vers les domaines scan.aquasecurtiy[.]org<\/em>, checkmarx[.]zone<\/em> et models.litellm[.]cloud<\/em>. La pr\u00e9sence d\u2019un tel trafic indique que des donn\u00e9es sensibles ont \u00e9t\u00e9 extraites.<\/p>\n Si un d\u00e9p\u00f4t nomm\u00e9 \u00ab\u00a0docs-tpcp\u00a0\u00bb est apparu sur le compte GitHub de l\u2019organisation, cela peut \u00e9galement indiquer qu\u2019une violation de donn\u00e9es a eu lieu.<\/p>\n V\u00e9rifiez si les h\u00f4tes et les clusters pr\u00e9sentent des signes de compromission\u00a0: pr\u00e9sence de fichiers ~\/.config\/sysmon\/sysmon.py ou de pods suspects dans Kubernetes.<\/p>\n Videz le cache et faites l\u2019inventaire des modules PyPI\u00a0: recherchez ceux qui sont malveillants et restaurez les versions saines.<\/p>\nComment Trivy a \u00e9t\u00e9 attaqu\u00e9<\/h2>\n
Compromission de LiteLLM<\/h2>\n
Fonctionnalit\u00e9s du programme malveillant TeamPCP Cloud Stealer<\/h2>\n
\n
Strat\u00e9gies d\u2019intervention et de d\u00e9fense pour la vuln\u00e9rabilit\u00e9 CVE-2026-33634<\/h2>\n