I famosissimi software Trivy e Checkmarx, noti strumenti di sicurezza per il rilevamento di vulnerabilità, misconfiguration, secret e molto altro, sono stati compromessi pochi giorni fa da un attacco supply-chain, coinvolgendo con loro anche le rispettive organizzazioni GitHub.

In seguito è stata colpita anche LiteLLM, una nota libreria Python per interfacciarsi con i LLM. Migliaia di organizzazioni con dipendenze dirette verso questi software sono state colpite dagli attacchi di un infostealer riconducibile al noto gruppo hacker TeamPCP. L’evento ha fatto molto parlare di sé nelle community GitHub e ha portato a patch e remediation immediate (o quasi) per evitare la compromissione di ulteriori organizzazioni.

Al momento della stesura, risultano compromessi i repository di Trivy, Checkmarx e LiteLLM, ma le segnalazioni indicano che almeno 1.000 ambienti SaaS enterprise potrebbero essere coinvolti in questa campagna di minaccia.

Come detto, l’origine dell’attacco proviene dal gruppo hacker TeamPCP, che nelle scorse settimane ha compromesso Trivy sfruttando una misconfiguration nelle GitHub Actions, ottenendo così un Access Token privilegiato. Il team di Trivy ha documentato l’accaduto direttamente nel proprio incident report su GitHub:

The attack chain actually began with PR #10252, created on Feb 27 at 00:18 UTC — before the hackerbot-claw PR and the VSCode extension advisory. Shortly after that PR, we observed unauthorized API activity using a compromised PAT, which escalated to the release deletions, repository rename, and the malicious VSCode extension publish. Note that PR #10252 and the user who created it have since been deleted. This may be due to GitHub flagging the account as a bot/spam, which would have caused the associated PRs to be removed as well. We’re double-checking with GitHub

La catena di attacchi è iniziata in realtà con il PR #10252, creata il 27 febbraio alle 00:18 UTC — prima del PR relativo a hackerbot-claw e dell’avviso sull’estensione di VSCode. Poco dopo quella PR, abbiamo rilevato attività API non autorizzate che utilizzavano un PAT compromesso, che sono sfociate nella cancellazione delle versioni, nella ridenominazione del repository e nella pubblicazione dell’estensione dannosa per VSCode. Si noti che il PR #10252 e l’utente che lo ha creato sono stati successivamente cancellati. Ciò potrebbe essere dovuto al fatto che GitHub abbia segnalato l’account come bot/spam, il che avrebbe causato la rimozione anche dei PR associati. Stiamo verificando con GitHub

L’accesso al token ha permesso agli attaccanti di effettuare commit direttamente sul repository di Trivy, concretizzando un attacco che ha coinvolto 75 tag di versione su 76 nelle immagini del registry.

L’aspetto più critico dell’intera vicenda, al di là dell’attacco stesso, riguarda il fatto che il token non sia stato revocato completamente dopo la prima esfiltrazione. Come si legge dall’incident report pubblicato direttamente su GitHub:

On March 19, we observed that a threat actor used a compromised credential to publish malicious trivy (v0.69.4), trivy-action, and setup-trivy releases. This was a follow up from the recent incident (2026-03-01) which exfiltrated credentials. Our containment of the first incident was incomplete. We rotated secrets and tokens, but the process wasn’t atomic and attackers may have been privy to refreshed tokens. We are now taking a more restrictive approach and locking down all automated actions and any token in order to thoroughly eliminate the problem.

Il 19 marzo abbiamo rilevato che un autore di minacce ha utilizzato credenziali compromesse per pubblicare versioni dannose di trivy (v0.69.4), trivy-action e setup-trivy. Si trattava di un seguito del recente incidente (2026-03-01) in cui erano state sottratte delle credenziali. Il nostro contenimento del primo incidente era stato incompleto. Abbiamo effettuato la rotazione di secret e token, ma il processo non è stato atomico e gli aggressori potrebbero essere venuti a conoscenza dei token aggiornati. Stiamo ora adottando un approccio più restrittivo e bloccando tutte le azioni automatizzate e qualsiasi token al fine di eliminare completamente il problema.

Dopo poco tempo, anche le GitHub Actions di Checkmarx e successivamente di LiteLLM sono state compromesse come conseguenza diretta della compromissione del token. Sfruttando lo stesso accesso privilegiato, gli attaccanti sono riusciti a iniettare il medesimo credential stealer utilizzato su Trivy, compromettendo poi l’intera organizzazione tramite un efficace Lateral Movement.

E non è finita qui.

Grazie alla compromissione di Trivy, Checkmarx, LiteLLM e probabilmente molti altri ambienti, gli attaccanti sono riusciti a distribuire un malware noto come CanisterWorm. Si tratta di un worm in grado di auto-replicarsi grazie ad avanzate tecniche di Lateral Movement, che riconosce la tipologia di host su cui è in esecuzione e tenta di effettuare un wipe completo nei sistemi basati su Kubernetes in cui viene installato. È stato inoltre osservato un comportamento particolarmente distruttivo nel caso in cui il worm venga eseguito su sistemi con localizzazione iraniana. Un’analisi che spiega approfonditamente le tecniche di typosquatting e infostealing usate dal malware è stata fatta da Wiz.

Le credenziali sottratte, tra cui chiavi AWS e token GitHub, possono essere (e con ogni probabilità lo saranno) sfruttate per estendere l’attacco ad altre risorse cloud e repository. Si parla di oltre 1.000 ambienti cloud compromessi, un dato che evidenzia quanto pipeline CI/CD ricche di dipendenze esterne siano esposte ad attacchi di questo tipo.

Quindi cosa fare?

Nel caso in cui abbiate uno qualsiasi di questi software in uso, sia in forma di container che su bare metal, è fortemente consigliato aggiornare alle ultime versioni disponibili e consultare i rispettivi changelog su GitHub per verificare se il proprio ambiente sia ancora esposto.