欧委会遭遇Trivy供应链攻击导致数据泄露 被盗92GB压缩数据
欧盟委员会近日确认,其云环境遭遇严重数据泄露事件,根源是一场针对开源安全工具 Trivy 的供应链攻击。 欧盟计算机应急响应小组(CERT‑EU)将此次攻击归咎于网络犯罪组织 TeamPCP,攻击者通过受污染的 Trivy 版本获取了委员会在亚马逊云服务(AWS)上的 API 密钥,继而从托管 Europa.eu 平台的基础设施中窃取了约 92GB 压缩数据(约 340GB 未压缩)。
事件起于 3 月 19 日,欧盟委员会的自动安全流水线在正常更新流程中拉取了已被 TeamPCP 植入恶意代码的 Trivy GitHub 仓库版本,后者利用先前凭证轮换不彻底这一弱点,对 trivy‑action 仓库中 77 个版本标签中的 76 个进行了恶意 force‑push。 一旦被拉入 CI/CD 环境,恶意代码便会搜集 AWS 凭证并上传,攻击者随即借助 TruffleHog 等工具在云环境中进一步扫描更多密钥和敏感信息。
欧盟委员会网络安全运营中心直到 3 月 24 日,才通过异常的 Amazon API 调用行为和网络流量激增发现问题,并在同日启动事件响应;3 月 27 日,委员会对外披露事件,次日,臭名昭著的 ShinyHunters 勒索团伙就在暗网泄露站上公开了被盗数据。 CERT‑EU 表示,泄露数据涉及 Europa.eu 托管服务多达 71 个客户,包括 42 个欧委会内部客户及至少 29 个其他欧盟机构,内容涵盖近 5.2 万份外发邮件文件、姓名列表、用户名和邮箱地址等信息,潜在受影响机构包括欧洲药品管理局、欧洲银行管理局、欧盟网络安全局(ENISA)以及欧盟边境与海岸警卫局 Frontex 等。
目前,欧盟方面已吊销受影响密钥,隔离并加固相关 AWS 账户,并依据 2023/2841 号《网络安全条例》向监管机构报告事件,CERT‑EU 正协调各受影响实体开展溯源与加固工作。 安全专家指出,此案暴露出政府机构在依赖开源工具进行安全扫描与 DevSecOps 时,对供应链风险评估和 CI/CD 行为监控的严重不足,也再次提醒业界必须对凭证轮换、第三方仓库完整性验证以及实时异常检测投入更多资源。
