Regione Umbria
CSIRT Umbria
Computer Security Incident Response Team
Seguici su:
Cerca

Cybersecurity Alert

TeamPCP: dalla compromissione di Trivy a una campagna supply chain

Data:

25 Marzo 2026

Tempo di lettura:

Argomenti

Descrizione

CSIRT Umbria, nell’esercizio delle sue funzioni, è venuto a conoscenza di una complessa campagna di attacco alla supply chain condotta dal gruppo denominato TeamPCP.

 

Di seguito sono riportati i dettagli salienti dell'offensiva:

  • Compromissione di Trivy (Aqua Security): Il 19 marzo 2026, il gruppo ha sfruttato credenziali sottratte in un precedente breach per infettare lo scanner Trivy (release v0.69.4). L'attacco ha incluso l'iniezione di un infostealer e la sovrascrittura forzata di numerosi tag su GitHub Actions, come trivy-action e setuptrivy.
  • Diffusione tramite Canister Worm: È stato identificato un worm auto-propagante, denominato Canister Worm, che ha inizialmente colpito 47 pacchetti NPM (in particolare negli scope @EmilGroup e @opengov). Il worm utilizza un'architettura a tre stadi:
    1. Un loader Node.js.
    2. Una backdoor Python persistente tramite systemd.
    3. Un server di comando e controllo (C2) decentralizzato su ICP canister.
  • Capacità distruttive e movimento laterale: Dal 22 marzo, il payload kamikaze.sh ha iniziato a eseguire operazioni distruttive: sui cluster Kubernetes distribuisce un DaemonSet (host-provisioner) che cancella il filesystem dei nodi, mentre sui sistemi non-Kubernetes esegue una cancellazione ricorsiva. Il worm è inoltre in grado di muoversi lateralmente tramite il furto di chiavi SSH e lo sfruttamento di API Docker esposte.
  • Estensione a Checkmarx e Open VSX: Il 23 marzo, la campagna si è estesa a Checkmarx, colpendo le GitHub Actions checkmarx/ast-github-action e checkmarx/kics-github-action, e pubblicando versioni trojanizzate delle estensioni Open VSX ast-results e cx-dev-assist.
  • Indicatori di Compromissione (IoC):
    • Domini/IP di esfiltrazione: scan.aquasecurtiy[.]org (IP 45.148.10.212) e checkmarx[.]zone (IP 83.142.209[.]11).
    • C2 decentralizzato: tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io.
    • Kill switch: Il worm interrompe l'esecuzione se l'URL del payload contiene youtube[.]com.

Indicazioni di Sicurezza: viene raccomandata massima cautela nel trattare email sospette e di non cliccare sui link presenti nelle segnalazioni. Si raccomanda inoltre di limitare la divulgazione di queste informazioni esclusivamente alla Constituency di codesto CSIRT.

A cura di

Questa pagina è gestita da
CSIRT Umbria

Ultimo aggiornamento: 25/03/2026, 16:10

Quanto sono chiare le informazioni su questa pagina?

Grazie, il tuo parere ci aiuterà a migliorare il servizio!

Quali sono stati gli aspetti che hai preferito? 1/2

Dove hai incontrato le maggiori difficoltà?1/2

Vuoi aggiungere altri dettagli? 2/2

Inserire massimo 200 caratteri
ACN DTG Finanziamento Europeo Regione Umbria Puntozero