CERT-EU确认Europa.eu数据泄露源于Trivy供应链攻击

欧盟计算机应急响应小组CERT-EU已将上周Europa.eu平台的数据盗窃事件追溯到近期针对Aqua Security公司Trivy开源漏洞扫描器的供应链攻击。

攻击事件分析

根据CERT-EU的分析，3月24日针对托管Europa.eu网络中枢的AWS云基础设施的攻击导致350GB数据被盗（压缩后91.7GB），包括个人姓名、电子邮件地址和消息。

Trivy的安全漏洞使攻击者能够访问AWS API密钥，从而获取了大量欧盟委员会网络数据的访问权限，包括"欧盟委员会42个内部客户端以及至少29个其他使用该服务的欧盟实体"的相关数据。

CERT-EU表示："威胁行为者使用被盗的AWS密钥创建并附加了一个新的访问密钥到现有用户，旨在逃避检测。然后他们进行了侦察活动。"该组织发现没有证据表明攻击者横向移动到委员会的其他AWS账户。

考虑到时间和AWS凭据的参与，"欧盟委员会和CERT-EU高度确信初始访问载体是Trivy供应链入侵，Aqua Security已公开将其归因于TeamPCP"。

在这次事件中，被盗数据在负责攻击的TeamPCP组织将其泄露给ShinyHunters勒索组织后变为公开，后者于3月28日在暗网上发布了这些数据。

Trivy供应链攻击详情

Trivy入侵可追溯到2月，当时TeamPCP利用Trivy GitHub Actions环境中的错误配置（现已识别为CVE-2026-33634）通过特权访问令牌建立立足点，据Aqua Security称。

发现此情况后，Aqua Security轮换了凭据，但由于某些凭据在此过程中仍然有效，攻击者能够窃取新轮换的凭据。

通过操纵受信任的Trivy版本标签，TeamPCP强制使用该工具的CI/CD管道自动下载其植入的凭据窃取恶意软件。

据帕洛阿尔托网络公司的安全研究人员称，这使TeamPCP能够针对各种有价值的信息，包括AWS、GCP、Azure云凭据、Kubernetes令牌、Docker注册表凭据、数据库密码、TLS私钥、SSH密钥和加密货币钱包文件。实际上，攻击者将一个用于查找云漏洞和错误配置的工具变成了一个巨大的安全漏洞。

CERT-EU建议受Trivy入侵影响的组织立即更新到已知安全版本，轮换所有AWS和其他凭据，审计CI/CD管道中的Trivy版本，最重要的是确保GitHub Actions绑定到不可变的SHA-1哈希而非可变标签。

它还建议寻找入侵指标（IoCs），如异常的Cloudflare隧道活动或可能表明数据外泄的流量峰值。

攻击影响与后续威胁

TeamPCP于2025年底出现，其起源和更深层动机仍不清楚。被盗数据的泄露表明它可能将自己定位为某种初始访问代理，向出价最高者出售数据和网络访问权限。

然而，被盗数据被移交给主要勒索软件组织的事实表明，受影响的组织在未来几周内可能面临一波勒索要求。

如果是这样，这将是一个巨大的倒退，因为勒索软件正承受压力，愿意支付赎金的受害者比例已经下降。

据估计，Trivy入侵至少影响了1000个SaaS环境，正迅速成为近期最具影响力的供应链事件之一。

受害者数量可能在未来几周内增长。其他卷入此事件的包括据报告丢失源代码的思科、安全测试公司Checkmarx以及AI网关公司LiteLLM。

Q&A

Q1：什么是Trivy供应链攻击？

A：Trivy供应链攻击是TeamPCP组织针对Aqua Security公司开源漏洞扫描器Trivy实施的网络攻击。攻击者利用GitHub Actions环境中的错误配置建立立足点，然后通过操纵受信任的版本标签，强制CI/CD管道下载恶意软件，从而窃取各种云服务凭据和敏感信息。

Q2：Europa.eu数据泄露造成了多大损失？

A：根据CERT-EU分析，此次攻击导致350GB数据被盗（压缩后91.7GB），包括个人姓名、电子邮件地址和消息。涉及欧盟委员会42个内部客户端以及至少29个其他欧盟实体的数据，被盗数据最终在暗网上公开发布。

Q3：如何防范类似的供应链攻击？

A：CERT-EU建议组织立即更新到已知安全版本，轮换所有AWS和其他云服务凭据，审计CI/CD管道中的工具版本，确保GitHub Actions绑定到不可变的SHA-1哈希而非可变标签，并监控异常的网络活动和流量峰值等入侵指标。