1 000 Environnements Cloud Infectés : Attaque Trivy
L'attaque sur Trivy impacte plus de 1 000 environnements cloud. Des criminels exploitent les scanners open source pour voler des secrets.
Lors de la conférence RSA 2026, il a été révélé que des milliers d'environnements cloud ont été infectés par un malware voleur de secrets à la suite de l'attaque de la chaîne d'approvisionnement Trivy. Les criminels impliqués travaillent désormais avec des groupes notoires comme Lapsus$.
Contexte de l'attaque
Charles Carmakal, CTO de Mandiant Consulting, a annoncé lors d'un événement Google lié à la conférence RSA à San Francisco que plus de 1 000 environnements SaaS sont actuellement impactés par ces acteurs malveillants. Ce nombre pourrait facilement atteindre plusieurs milliers dans les jours à venir.
Les criminels, principalement basés aux États-Unis, au Royaume-Uni, au Canada et en Europe de l'Ouest, sont réputés pour leur agressivité en matière d'extorsion. Ils exploitent non seulement Trivy mais aussi d'autres outils d'analyse comme KICK et le middleware crucial liteLLM, présent dans 36 % des environnements cloud selon Wiz.
Impact concret sur les développeurs
Le malware exploite les failles dans l'intégration continue et le déploiement continu (CI/CD) en volant des informations sensibles telles que les clés API et les tokens GitHub. Cela a été rendu possible par la compromission de la version 0.69.4 de Trivy, causée par une erreur de configuration non corrigée dans son composant GitHub Action.
Nouveautés principales
- Plus de 1 000 environnements SaaS touchés avec un potentiel d'expansion.
- Groupes criminels collaborent avec Lapsus$ pour les extorsions.
- Compromission du middleware liteLLM et du scanner Trivy.
À retenir : La protection des outils de la chaîne d'approvisionnement est cruciale pour la sécurité des environnements cloud.
