Trivy esegue scans su oltre 10 miliardi di immagini container all’anno per vulnerabilità. La scorsa settimana, gli attaccanti lo hanno compromesso per distribuire malware invece. L’ironia è quasi poetica: lo strumento progettato per proteggere la tua catena di fornitura è diventato l’attacco alla catena di fornitura.
Questo non è un incidente isolato. Fa parte di un’ondata a cascata di compromissioni che prendono di mira gli strumenti di sicurezza di cui ci è stato detto di fidarci. LiteLLM, il gateway AI destinato a proteggere il tuo traffico LLM, è stato compromesso. La catena di attacco di TeamPCP ha colpito più progetti simultaneamente. Il modello è chiaro: gli attaccanti hanno capito che compromettere gli scanner di sicurezza è più efficiente che attaccare obiettivi singoli.
Cosa è realmente successo
La compromissione di Trivy ha seguito un copione depressivamente familiare. Gli attaccanti hanno ottenuto accesso all’infrastruttura di distribuzione del progetto e hanno iniettato codice malevolo nelle versioni legittime. Gli utenti che hanno aggiornato il loro scanner di sicurezza—facendo esattamente ciò che le migliori pratiche di sicurezza raccomandano—hanno scaricato malware invece di protezione.
Il team di risposta agli incidenti di Microsoft ha identificato la compromissione dopo aver rilevato comportamenti anomali negli ambienti che eseguono versioni recenti di Trivy. L’analisi di Palo Alto Networks ha rivelato che l’attacco era più sofisticato di quanto inizialmente riportato, con più fasi progettate per eludere la rilevazione da parte di altri strumenti di sicurezza. Gli attaccanti hanno capito di mirare a organizzazioni attente alla sicurezza e hanno pianificato di conseguenza.
ReversingLabs ha rintracciato l’attacco fino a TeamPCP, un attore delle minacce che gestisce operazioni coordinate della catena di fornitura in diversi progetti open-source. Questo non era opportunistico, era strategico. Stanno sistematicamente prendendo di mira gli strumenti di cui le squadre di sicurezza dipendono, trasformando l’infrastruttura di difesa in infrastruttura d’attacco.
Perché gli strumenti di sicurezza sono obiettivi perfetti
Pensa a come funzionano gli scanner di sicurezza. Hanno bisogno di un accesso profondo ai tuoi sistemi. Operano con privilegi elevati. Toccono ogni parte del tuo codice e della tua infrastruttura. Sono implicitamente fidati perché il loro scopo è la sicurezza.
Ora immagina di essere un attaccante. Preferiresti compromettere un pacchetto npm casuale che potrebbe essere installato in un centinaio di progetti o compromettere uno scanner di sicurezza distribuito su migliaia di aziende, che opera con privilegi amministrativi e di cui ci si fida per accedere a tutto?
La compromissione di LiteLLM ha dimostrato questo perfettamente. Le organizzazioni lo hanno distribuito specificamente per proteggere la loro infrastruttura AI. Invece, hanno dato agli attaccanti una posizione privilegiata all’interno dei loro pipeline LLM. Lo strumento destinato a prevenire la fuga di dati è diventato il meccanismo di fuga dei dati.
Il problema della fiducia di cui nessuno vuole parlare
Gli strumenti di sicurezza operano su una base di fiducia che non abbiamo mai esaminato correttamente. Li installiamo, concediamo loro ampi permessi e assumiamo che siano sicuri perché sono strumenti di sicurezza. Quella logica circolare è appena crollata.
Il consiglio standard dopo un attacco alla catena di fornitura è di aggiungere più scansioni e verifiche. Ma con cosa fai la scansione? Un altro strumento di sicurezza che potrebbe esso stesso essere compromesso? Abbiamo creato un problema di fiducia che non può essere risolto aggiungendo più strati di strumenti che richiedono fiducia.
Le organizzazioni ora si trovano di fronte a una domanda scomoda: se non puoi fidarti dei tuoi strumenti di sicurezza, di cosa puoi fidarti? La risposta non è più strumenti. È una migliore verifica degli strumenti che hai già, il che significa revisioni manuali, build riproducibili e accettare che l’automazione ha dei limiti.
Cosa significa questo per la sicurezza degli strumenti AI
Il settore AI dovrebbe prestare attenzione. Ci stiamo affrettando a distribuire gateway AI, scanner di iniezione di prompt e strumenti di sicurezza LLM senza imparare da ciò che è appena accaduto agli strumenti di sicurezza tradizionali. La compromissione di LiteLLM è stata un’anteprima di ciò che sta per arrivare.
Gli strumenti di sicurezza AI sono obiettivi ancora più attraenti rispetto agli scanner di sicurezza tradizionali. Si pongono tra le tue applicazioni e costosi API LLM. Vedono ogni prompt e ogni risposta. Spesso hanno accesso a chiavi API e dati sensibili. E le organizzazioni li stanno distribuendo rapidamente, spesso senza la stessa attenzione che applicherebbero ad altre infrastrutture.
La catena di fornitura degli strumenti di sicurezza è ora un vettore di attacco primario. Questo non è speculazione—è una realtà documentata in diversi incidenti. La catena di fornitura degli strumenti di sicurezza AI è la prossima, e la maggior parte delle organizzazioni non è preparata.
Cosa funziona davvero
Verifica i tuoi strumenti di sicurezza nello stesso modo in cui verificheresti qualsiasi altra infrastruttura critica. Ciò significa build riproducibili, verifica delle firme e monitoraggio per comportamenti imprevisti. Significa non aggiornare automaticamente gli strumenti di sicurezza in produzione senza test. Significa trattare gli strumenti di sicurezza come potenziali vettori di attacco, non come componenti fidati.
Per gli strumenti AI specificamente, questo significa scrutinare i tuoi gateway AI e i livelli di sicurezza con la stessa paranoia che applicheresti a qualsiasi componente di sistema privilegiato. Perché questo è ciò che sono ora: obiettivi ad alto valore che gli attaccanti stanno attivamente compromettendo.
La compromissione di Trivy non sarà l’ultimo attacco agli strumenti di sicurezza. Fa parte di un modello che si sta accelerando. Gli strumenti che distribuiamo per proteggerci stanno diventando le armi usate contro di noi. Riconoscere questa realtà è il primo passo per affrontarla realmente.
🕒 Published: