Detailed Digest: Attack on EU's Europa.eu Platform Traced to Compressed Software Supply Chain Attack

The security breach of the European Union's Europa.eu web hosting platform, disclosed in late March, has been linked to a sophisticated software supply chain attack targeting the popular open-source vulnerability scanner Trivy. The EU's Computer Emergency Response Team (CERT-EU) has provided a detailed analysis, attributing the initial access vector to a compromised version of Trivy with "high confidence."

Attack Vector: Poisoned GitHub Tags

The incident stemmed from a misconfiguration in the GitHub Actions environment of Trivy's developer, Aqua Security, in late February. This allowed attackers to extract a token and establish persistence. Although Aqua Security rotated its secrets upon discovering the incident on March 1st, unauthorized access remained.

On March 19th, the attackers executed a "force-push" operation on 76 of 77 version tags in the `trivy-action` repository and all 7 tags in the `setup-trivy` repository, redirecting them to malicious commits. Simultaneously, a compromised service account (`aqua-bot`) triggered the release of a malicious version of Trivy (0.69.4). Aqua Security contained the attack and removed the malicious elements within approximately three hours.

Stealthy Infostealer Deployment

Instead of directly pushing a malicious Trivy binary, the attackers "poisoned" the version tags. Continuous Integration/Continuous Deployment (CI/CD) pipelines using these tags continued to function normally. For each tag, the attackers:

1. Positioned themselves on the main branch head.

2. Injected an infostealer into the `entrypoint.sh` file.

3. Located the original commit and cloned its metadata.

4. Recreated the junction with the main branch head.

5. Force-pushed the tag to the new, malicious commit.

This created a file tree identical across all malicious commits, with false metadata that varied only by tag, making detection in Git logs difficult. Telltale signs included the lack of GPG signatures on new commits (present on originals merged via GitHub's web UI) and the fact that each new commit modified only `entrypoint.sh`, whereas original commits changed multiple files.

The Payload and Perpetrators

The payload, an infostealer designed to collect sensitive data like secrets, executed *before* the Trivy scan, allowing the scan to conclude without apparent issue. Data exfiltration primarily occurred via POST requests to a typosquatted domain mimicking Aqua Security's, or by creating a public repository in the victim's GitHub account.

A comment line in the malware identifies it as "TeamPCP Cloud stealer." TeamPCP is a recently tracked group known for exploiting configuration errors in Docker APIs, Kubernetes clusters, and Redis servers. Security firm Wiz notes technical similarities with the group's previous tools but does not attribute a nationality.

Impact on the European Commission

One API key obtained via the compromised Trivy scanner on March 19th provided access to "AWS accounts affiliated with the European Commission," according to CERT-EU. The attacker tested it with Trufflehog, used it to create a new key, and attached it to an existing user.

The Commission's Security Operations Center (SOC) alerted on the situation on March 24th, reporting it to CERT-EU the next day. The timeline of the Trivy attack coincides with the breach, and Brussels confirmed using a compromised version of the scanner during the relevant period.

The current assessment confirms data theft from at least 71 Europa.eu clients: 42 internal to the European Commission and 29 from other EU entities. The stolen data includes personal information (names/email addresses) and over 2 GB (52,000 files) of outgoing emails. While most are automated notifications with little content, some bounce-back messages may contain sender content. CERT-EU states there is currently no evidence of lateral movement to other Commission AWS accounts.

Broader Context of EU Cyber Threats

This incident adds to a series of attacks against EU institutions and member states. Earlier this year, the European Commission's mobile device management infrastructure was compromised, reportedly via an Ivanti EPMM vulnerability. More recently, CERT-FR and other European counterparts issued alerts targeting instant messaging platforms, particularly in critical sectors. This prompted the European Commission to shut down a previously unknown Signal group used by department directors over hacking fears.

In March, the EU added three companies to its sanctions list for involvement in cyberattacks: two Chinese firms linked to hacking critical infrastructure and tens of thousands of endpoints, and an Iranian firm attributed to the 2023 Charlie Hebdo hack and the hijacking of billboards during the 2024 Olympics to spread disinformation.

Aux balises de version, préférer les commits épinglés.

Cette pratique a trouvé un certain écho pour renforcer la sécurité de GitHub Actions après diverses attaques ayant permis le vol de secrets dans la mémoire des exécuteurs. Elle ne s’est pas pour autant généralisée dans les pipelines CI/CD, qui continuent pour beaucoup à s’appuyer sur les tags. Parmi eux, il y en a possiblement un lié à Europa.eu.

Le 27 mars, la Commission européenne avait fait une communication au sujet de cette plate-forme qui héberge les sites web d’institutions de l’UE. Elle expliquait avoir découvert, trois jours plus tôt, trace d’une attaque assortie d’un vol de données.

Le lendemain, le groupe ShinyHunters publiait, sur le darkweb, ce qu’il disait être les données en question.

Le scanner de vulnérabilités Trivy, probable vecteur d’accès initial

Le CERT-EU vient d’apporter des éléments complémentaires. Dont ce qu’il estime « avec une grande confiance » être le vecteur d’accès initial : Trivy.

On doit ce scanner de vulnérabilités open source à l’entreprise américaine Aqua Security. Fin février, une mauvaise configuration dans son environnement GitHub Actions a permis à des tiers d’extraire un token et d’établir une persistance dans le processus de release.

Le 1er mars, Aqua Security, ayant découvert l’incident, fait tourner ses secrets. Pour autant, l’accès indésirable perdure.

Le 19 mars, l’attaquant fait un force-push sur 76 des 77 balises de version du répertoire trivy-action et sur les 7 du répertoire setup-trivy, entraînant une redirection vers des commits malveillants. Simultanément, un compte de service compromis* (aqua-bot) enclenche la publication d’une version malveillante de Trivy (0.69.4).

Il a fallu environ 3 heures à Aqua Security pour maîtriser l’attaque et retirer les éléments malveillants.

Un infostealer injecté par balises empoisonnées

Plutôt que de pousser directement une version vérolée de Trivy, les attaquants ont donc « empoisonné » des balises de version. Les pipelines CI/CD qui en faisaient usage ont ainsi continué à fonctionner comme si de rien n’était.

Pour chaque balise, même processus :

Positionnément sur la tête de la branche main

Injection de l’infostealer dans entrypoint.sh

Recherche du commit d’origine et clonage de ses métadonnées

Recréation de la jonction avec la tête de la branche main

Force-push la balise vers le nouveau commit

Résultat : une arborescence de fichiers identique sur tous les commits malveillants et de fausses métadonnées ne variant que par balise et pouvant par là même passer inaperçues dans les journaux Git. Quelques éléments trahissaient quand même l’attaque. Par exemple, l’absence de signature des nouveaux commits, alors que les anciens l’étaient avec GPG lorsque fusionnés via l’UI web de GitHub. Ou tout simplement le fait que chacun de ces nouveaux commits ne modifiait qu’entrypoint.sh, alors que ceux d’origine changeaient plusieurs fichiers.

TeamPCP, un groupe à l’affût des erreurs de configuration

La charge utile était conçue pour collecter des informations sensibles, à commencer par des secrets. Elle s’exécutait avant le scan Trivy, qui semblait donc d’autant plus se terminer sans encombre. L’exfiltration des données se faisait prioritairement en POST vers un typosquattage du nom de domaine d’Aqua Security. Sinon, par la création d’un dépôt public dans le compte GitHub des victimes.

Dans une ligne de commentaire, le malware s’identifie en tant que « TeamPCP Cloud stealer ».

Suivi depuis peu, TeamPCP s’est fait connaître en exploitant des erreurs de configuration, entre autres dans des API Docker, des clusters Kubernetes et des serveurs Redis. Wiz, qui a livré une analyse à son sujet, ne lui attribue pas de nationalité. Au-delà de son nom qui apparaît dans le code du malware, il y a les ressemblances avec ses précédents outils sur le plan technique.

5 jours pour détecter l’incident

Une des clés d’API obtenues via Trivy le 19 mars a donné accès à « des comptes AWS affiliés à la Commission européenne », selon le CERT-EU.

L’ayant testée avec Trufflehog, l’attaquant l’a utilisée pour créer une nouvelle clé et l’a attachée à un utilisateur existant.

Le SOC de la Commission européenne s’est alerté de la situation le 24 mars. Le lendemain, il a signalé l’incident au CERT-EU. Celui-ci valide d’autant plus la piste Trivy que le timing des attaques coïncide… et que sur la période concernée, Bruxelles a utilisé une version compromise du scanner de vulnérabilités.

Le bilan actuel fait état du vol de données d’au moins 71 clients d’Europa.eu : 42 internes à la Commission européenne et 29 d’autres entités de l’UE. Une partie de ces données sont à caractère personnel. Noms/prénoms et adresses électroniques, en particulier. Il y en a aussi pour un peu plus de 2 Go (52 000 fichiers) d’e-mails sortants. La majorité sont des notifications automatisées avec peu voire pas de contenu, assure le CERT-EU. Il y a toutefois des messages de retour (bounce-back) dont le body peut contenir le message de l’expéditeur…

Peur sur les messageries instantanées

Pour l’instant, il n’y a pas de preuves de latéralisation vers d’autres comptes AWS de la Commission européenne, à en croire le CERT-EU.

Cet épisode s’ajoute à une succession d’attaques contre les institutions de l’UE et ses États membres. En début d’année, la Commission européenne avait vu l’infrastructure de gestion de ses terminaux mobiles compromise, visiblement par l’intermédiaire d’une faille dans Ivanti EPMM.

Plus récemment, le CERT-FR et plusieurs homologues européens ont émis des bulletins d’alerte sur le ciblage des messageries instantanées, particulièrement dans les secteurs régaliens. À la suite de quoi la Commission européenne a fait fermer, par crainte de piratage, un groupe Signal sur lequel échangeaient des directeurs de départements et dont elle n’avait eu connaissance que dernièrement.

En mars, l’UE a intégré à sa liste de sanctions trois sociétés impliquées dans des cyberattaques. Deux chinoises, qui ont respectivement contribué au piratage d’infrastructures critiques et de dizaines de milliers de terminaux (65 000 dans 6 États membres). Une iranienne, à laquelle on a notamment attribué le piratage de Charlie Hebdo en 2023 (adresses postales et électroniques d’abonnés mises en vente sur le darkweb) et le détournement de panneaux publicitaires pendant les JO 2024 pour diffuser de la désinformation.

* Compte également utilisé pour récupérer des identifiants supplémentaires sur le GitHub d’Aqua Security. Dont des clés GPG et des authentifiants pour Docker Hub, Slack et X, exfiltrés via un tunnel Cloudflare.

Illustration générée par IA

The post Europa.eu piraté : le mode opératoire se précise appeared first on Silicon.fr.