CERT-EU确认Europa.eu数据泄露源于Trivy供应链攻击

欧盟计算机应急响应小组CERT-EU已确认，上周Europa.eu平台的数据盗窃事件源于近期针对Aqua Security公司Trivy开源漏洞扫描器的供应链攻击。

攻击详情分析

根据CERT-EU的分析，3月24日对托管Europa.eu网站的AWS云基础设施的攻击导致350GB数据被盗（压缩后91.7GB），其中包括个人姓名、电子邮件地址和消息内容。

Trivy的安全漏洞使攻击者能够访问AWS API密钥，从而获得了大量欧盟委员会网络数据的访问权限，涉及"欧盟委员会的42个内部客户端，以及至少29个其他使用该服务的欧盟实体"。

CERT-EU表示："威胁行为者利用被盗的AWS秘钥为现有用户创建并附加了新的访问密钥，试图逃避检测。随后他们进行了侦察活动。"该组织没有发现攻击者横向移动到委员会其他AWS账户的证据。

鉴于时间节点和AWS凭证的参与情况，"欧盟委员会和CERT-EU高度确信初始访问载体就是Trivy供应链入侵，Aqua Security公司已公开将此事件归咎于TeamPCP组织"。

攻击发展过程

在这起事件中，被盗数据在负责攻击的TeamPCP组织将其泄露给ShinyHunters勒索集团后成为公开信息，该集团于3月28日在暗网上发布了这些数据。

根据Aqua Security的报告，Trivy的入侵可以追溯到2月份，当时TeamPCP利用Trivy GitHub Actions环境中的错误配置（现已识别为CVE-2026-33634）通过特权访问令牌建立了立足点。

发现这一情况后，Aqua Security轮换了凭证，但由于在此过程中某些凭证仍然有效，攻击者能够窃取新轮换的凭证。

通过操纵受信任的Trivy版本标签，TeamPCP强制使用该工具的CI/CD管道自动下载其植入的凭证窃取恶意软件。

根据Palo Alto Networks安全研究人员的报告，这使TeamPCP能够针对各种有价值的信息，包括AWS、GCP、Azure云凭证、Kubernetes令牌、Docker注册表凭证、数据库密码、TLS私钥、SSH密钥和加密货币钱包文件。实际上，攻击者将一个用于发现云漏洞和错误配置的工具变成了一个巨大的安全漏洞。

安全建议与影响评估

CERT-EU建议受Trivy入侵影响的组织立即更新到已知安全版本，轮换所有AWS和其他凭证，审计CI/CD管道中的Trivy版本，最重要的是确保GitHub Actions绑定到不可变的SHA-1哈希值而非可变标签。

该组织还建议寻找入侵指标（IoCs），如异常的Cloudflare隧道活动或可能表明数据泄露的流量激增。

TeamPCP组织于2025年末出现，其起源和更深层动机仍不清楚。被盗数据的泄露表明它可能将自己定位为一种初始访问代理商，向出价最高的买家出售数据和网络访问权限。

然而，被盗数据被移交给主要勒索软件组织的事实表明，受影响的组织在未来几周内可能面临一波勒索要求。

如果情况属实，这将是一个巨大的倒退，因为勒索软件正面临压力，愿意支付赎金的受害者比例已经下降。

据估计，Trivy的入侵至少影响了1000个SaaS环境，正迅速发展成为近期最具影响力的供应链事件之一。

受害者数量可能在未来几周内增长。其他卷入此事件的组织包括据报告丢失源代码的思科公司、安全测试公司Checkmarx，以及AI网关公司LiteLLM。

Q&A

Q1：什么是Trivy供应链攻击，它是如何发生的？

A：Trivy供应链攻击是TeamPCP组织针对Aqua Security公司开源漏洞扫描器Trivy的攻击。攻击者利用Trivy GitHub Actions环境中的错误配置建立立足点，通过操纵受信任的版本标签强制CI/CD管道下载恶意软件，从而窃取各种云凭证和敏感信息。

Q2：Europa.eu数据泄露事件造成了什么损失？

A：攻击导致350GB数据被盗，包括个人姓名、电子邮件地址和消息内容，涉及欧盟委员会42个内部客户端和至少29个其他欧盟实体。被盗数据最终被TeamPCP泄露给勒索集团并在暗网公布。

Q3：组织应该如何防范类似的供应链攻击？

A：CERT-EU建议立即更新到已知安全版本，轮换所有云凭证，审计CI/CD管道中的工具版本，确保GitHub Actions绑定到不可变的SHA-1哈希值而非可变标签，并监控异常的网络活动和流量激增等入侵指标。