TeamPCP: attacco multistadio alla supply chain CI/CD compromette Trivy, Checkmarx e LiteLLM

Tra il 19 e il 24 marzo 2026 il gruppo TeamPCP ha eseguito una campagna di compromissione della supply chain software identificata come CVE-2026-33634 (CVSS 9.4). Il punto di ingresso è stato Aqua Trivy, lo scanner di vulnerabilità open-source più diffuso negli ambienti cloud-native: usando credenziali rubate in un incidente precedente — non completamente revocate durante la rotazione — gli attaccanti hanno effettuato un force-push malevolo su 76 dei 77 tag di versione di aquasecurity/trivy-action e tutti i 7 tag di setup-trivy. Il risultato è che ogni pipeline CI/CD che eseguiva una scansione ordinaria stava al contempo eseguendo un infostealer.

Come analizzato da Kaspersky e Arctic Wolf, il malware CanisterWorm raccoglieva token AWS/GCP, chiavi SSH, segreti Kubernetes, credenziali di database, chiavi crypto e webhooks Slack/Discord, esfiltrandoli verso domini typosquatting (scan.aquasecurtiy[.]org). Il 23 marzo la campagna si è estesa a Checkmarx KICS e AST, e il 24 marzo a LiteLLM su PyPI: le versioni malevole 1.82.7 e 1.82.8 erano attive per circa 5 ore e si eseguivano automaticamente all'avvio di qualunque processo Python tramite un file .pth. Il SANS Institute stima oltre 20.000 repository potenzialmente esposti.

Versioni malevole: Trivy 0.69.4/0.69.5/0.69.6, trivy-action (tag v0.35.0 e precedenti al 19/03), setup-trivy 0.2.0–0.2.6, Checkmarx kics-github-action/ast-github-action (tag v1–v2.1.20), LiteLLM 1.82.7/1.82.8.
Azione raccomandata: bloccare le versioni compromesse, verificare i log di pipeline per traffico verso i domini C2, ruotare immediatamente tutti i segreti CI/CD, API key e credenziali cloud esposti durante la finestra di compromissione.

Fonti: ACN, Kaspersky, Artic wolf