Retas Rantai Pasok Trivy Meluas: Infostealer Susupi Docker Hingga Picu Worm dan Wiper Kubernetes
Baca dalam 60 detik
- Serangan rantai pasok terhadap alat pemindai keamanan Trivy meluas hingga ke Docker Hub, di mana versi 0.69.4 hingga 0.69.6 terbukti menyebarkan malware pencuri informasi dan telah ditarik dari peredaran.
- Kelompok peretas TeamPCP memanfaatkan kredensial curian dari akun bot layanan untuk merusak 44 repositori internal milik Aqua Security dan menyebarkan CanisterWorm ke puluhan paket npm.
- Serangan ini juga memicu penyebaran malware wiper yang secara spesifik menargetkan dan menghapus total klaster Kubernetes di wilayah Iran, sementara target di negara lain diam-diam dipasangi pintu belakang.
Dampak dari serangan rantai pasok terhadap pemindai kerentanan populer, Trivy, kini semakin meluas tak terkendali. Para peneliti keamanan siber menemukan bahwa artefak berbahaya telah didistribusikan melalui Docker Hub, memicu krisis mulai dari penyebaran worm hingga malware penghapus data (wiper) pada klaster Kubernetes.
Melansir laporan Ravie Lakshmanan pada Senin (23/3/2026), versi bersih terakhir dari Trivy di Docker Hub adalah 0.69.3. Sementara itu, versi 0.69.4, 0.69.5, dan 0.69.6 telah disusupi oleh pencuri informasi (infostealer) yang terafiliasi dengan kelompok peretas TeamPCP dan kini telah dihapus dari repositori. Serangan ini bermula dari kompromi kredensial pada akun layanan bot bernama "Argon-DevOps-Mgt" yang menjembatani organisasi GitHub.
Efek domino dari peretasan ini sangat destruktif. Peretas berhasil merusak 44 repositori internal milik Aqua Security hanya dalam kurun waktu dua menit, serta menyusupi puluhan paket npm untuk menyebarkan worm yang dapat mereplikasi diri bernama CanisterWorm. Lebih parah lagi, TeamPCP meluncurkan wiper mutakhir yang menargetkan klaster Kubernetes (K8s) secara spesifik berdasarkan lokasi geografis.
- Vektor Serangan Utama: Kredensial curian dari akun bot layanan CI/CD yang memiliki akses token jangka panjang (PAT).
- Perusakan GitHub: 44 repositori internal diubah namanya dengan awalan "tpcp-docs-" dan diekspos ke publik.
- Malware Geografis: Klaster K8s yang berlokasi di Iran dihapus total (di-wipe) melalui kontainer bernama 'kamikaze', sementara node di luar Iran dipasangi pintu belakang (backdoor) rahasia.
Mengingat Anda memiliki minat kuat pada administrasi server dan keamanan jaringan, insiden ini adalah peringatan krusial untuk selalu meninjau ulang manajemen kredensial bot dan penggunaan alat pemindai di pipeline CI/CD. Berikut adalah ringkasan status aset yang terdampak dari serangan rantai pasok ini:
| Komponen / Target | Status Ancaman | Tindakan Mitigasi |
|---|---|---|
| Trivy Docker Image (v0.69.3) | Aman | Gunakan sebagai versi stabil terakhir |
| Trivy Docker Image (v0.69.4 - 0.69.6) | Telah Disusupi Infostealer | Cabut dan hapus segera dari CI/CD |
| Klaster Kubernetes (Iran) | Target Penghapusan Data (Wiper) | Cek keberadaan kontainer 'kamikaze' |
| Klaster Kubernetes (Non-Iran) | Target Pintu Belakang (Backdoor) | Pindai infeksi layanan systemd CanisterWorm |
