TeamPCP и Lapsus$: Атака через Trivy заразила свыше 1000 облачных сред

Кибератака, начавшаяся со взлома популярного сканера уязвимостей Trivy, переросла в масштабную кампанию по заражению облачной инфраструктуры. По данным экспертов Mandiant, группировка TeamPCP уже скомпрометировала более 1000 облачных сред, внедрив в них вредоносное ПО для кражи данных (инфостилер). Исходная точка атаки — скомпрометированный инструмент безопасности — превращает стандартную процедуру проверки в канал для заражения, что резко повышает скрытность и эффективность операции.

Атака демонстрирует классический сценарий компрометации цепочки поставок: злоумышленники взломали легитимный инструмент Trivy, используемый DevOps-командами для аудита безопасности контейнеров и облачных конфигураций. В результате, при его использовании в инфраструктуре жертвы, вместо отчета об уязвимостях происходила тайная установка инфостилера. Особую тревогу вызывает возможный альянс TeamPCP с печально известной вымогательской группировкой Lapsus$, что указывает на переход от шпионажа к прямой монетизации украденных данных.

Эта кампания создает серьезные операционные риски для тысяч компаний, полагающихся на облачные сервисы и автоматизированные инструменты безопасности. Факт объединения усилий TeamPCP и Lapsus$ сигнализирует о новой модели сотрудничества между хакерскими группами, где одни специализируются на первоначальном взломе и сборе данных, а другие — на их продаже или использовании для вымогательства. Ситуация требует срочного аудита всех систем, где используется Trivy, и пересмотра политик доверия к сторонним инструментам в DevOps-циклах.