{"id":327,"date":"2026-03-23T10:55:52","date_gmt":"2026-03-23T10:55:52","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/trivy-hack-difunde-infostealer-a-traves-de-docker-triggers-worm-y-kubernetes-wiper-cyberdefensa-mx\/"},"modified":"2026-03-23T10:55:52","modified_gmt":"2026-03-23T10:55:52","slug":"trivy-hack-difunde-infostealer-a-traves-de-docker-triggers-worm-y-kubernetes-wiper-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/23\/trivy-hack-difunde-infostealer-a-traves-de-docker-triggers-worm-y-kubernetes-wiper-cyberdefensa-mx\/","title":{"rendered":"Trivy Hack difunde Infostealer a trav\u00e9s de Docker, Triggers Worm y Kubernetes Wiper \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad han descubierto artefactos maliciosos distribuidos a trav\u00e9s de Docker Hub luego del ataque a la cadena de suministro de Trivy, destacando el creciente radio de explosi\u00f3n en los entornos de desarrolladores.<\/p>\n

La \u00faltima liberaci\u00f3n limpia conocida de trivia<\/a> en Docker Hub es 0.69.3. Desde entonces, las versiones maliciosas 0.69.4, 0.69.5 y 0.69.6 se eliminaron de la biblioteca de im\u00e1genes del contenedor.<\/p>\n

\u00abLas nuevas etiquetas de imagen 0.69.5 y 0.69.6 se publicaron el 22 de marzo sin las correspondientes versiones o etiquetas de GitHub. Ambas im\u00e1genes contienen indicadores de compromiso asociados con el mismo ladr\u00f3n de informaci\u00f3n de TeamPCP observado en etapas anteriores de esta campa\u00f1a\u00bb, dijo el investigador de seguridad de Socket, Philipp Burckhardt. dicho<\/a>.<\/p>\n

El desarrollo se produce a ra\u00edz de un compromiso de la cadena de suministro de Trivy, un popular esc\u00e1ner de vulnerabilidades de c\u00f3digo abierto mantenido por Aqua Security, que permite a los actores de amenazas aprovechar una credencial comprometida para impulsar a un ladr\u00f3n de credenciales dentro de versiones troyanizadas de la herramienta y dos acciones de GitHub relacionadas \u00abaquasecurity\/trivy-action\u00bb y \u00abaquasecurity\/setup-trivy\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

El ataque ha tenido impactos posteriores, ya que los atacantes aprovecharon los datos robados para comprometer docenas de paquetes npm y distribuir un gusano autopropagante conocido como CanisterWorm. Se cree que el incidente es obra de un actor de amenazas rastreado como TeamPCP.<\/p>\n

Seg\u00fan el equipo de OpenSourceMalware, los atacantes han desfigurado los 44 repositorios internos asociados con Aqua Security.aquasec-com<\/a>\u00bb organizaci\u00f3n GitHub cambiando el nombre de cada uno de ellos con el prefijo \u00abtpcp-docs-\u00ab, estableciendo todas las descripciones en \u00abTeamPCP posee Aqua Security\u00bb y exponi\u00e9ndolas p\u00fablicamente.<\/p>\n

Se dice que todos los repositorios se modificaron en una r\u00e1faga programada de 2 minutos entre las 20:31:07 UTC y las 20:32:26 UTC del 22 de marzo de 2026. Se ha evaluado con alta confianza que el actor de amenazas aprovech\u00f3 una cuenta de servicio \u00abArgon-DevOps-Mgt\u00bb comprometida para este prop\u00f3sito.<\/p>\n

\u00abNuestro an\u00e1lisis forense de la API de GitHub Events apunta a un token de cuenta de servicio comprometido, probablemente robado durante el compromiso anterior de Trivy GitHub Actions de TeamPCP, como vector de ataque\u00bb, dijo el investigador de seguridad Paul McCarty. dicho<\/a>. \u00abEsta es una cuenta de servicio\/bot (ID de GitHub 139343333, creada el 12 de julio de 2023) con una propiedad cr\u00edtica: une ambas organizaciones de GitHub\u00bb.<\/p>\n

\u00abUn token comprometido para esta cuenta le da al atacante acceso de escritura\/administraci\u00f3n a ambas organizaciones\u00bb, agreg\u00f3 McCarty.<\/p>\n

El desarrollo es la \u00faltima escalada de un actor de amenazas que se ha ganado una reputaci\u00f3n por apuntar a infraestructuras de nube, mientras construye progresivamente capacidades para exponer sistem\u00e1ticamente las API de Docker, los cl\u00fasteres de Kubernetes, los paneles de Ray y los servidores Redis para robar datos, implementar ransomware, realizar extorsi\u00f3n y extraer criptomonedas.<\/p>\n

Su creciente sofisticaci\u00f3n se ejemplifica mejor con la aparici\u00f3n de un nuevo malware de limpieza que se propaga a trav\u00e9s de SSH a trav\u00e9s de claves robadas y explota las API de Docker expuestas en el puerto 2375 en toda la subred local.<\/p>\n

Se ha descubierto que una nueva carga \u00fatil atribuida a TeamPCP va m\u00e1s all\u00e1 del robo de credenciales y borra cl\u00fasteres completos de Kubernetes (K8) ubicados en Ir\u00e1n. El script de shell utiliza el mismo recipiente ICP vinculado a CanisterWorm y luego ejecuta comprobaciones para identificar los sistemas iran\u00edes.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEn Kubernetes: implementa DaemonSets privilegiados en cada nodo, incluido el plano de control\u00bb, investigador de seguridad de Aikido, Charlie Eriksen. dicho<\/a>. \u00abLos nodos iran\u00edes se borran y se reinician a la fuerza a trav\u00e9s de un contenedor llamado ‘kamikaze’. Los nodos no iran\u00edes instalan la puerta trasera CanisterWorm como un servicio systemd. Los hosts iran\u00edes que no son K8 obtienen ‘rm -rf \/ \u2013no-preserve-root’\u00bb.<\/p>\n

Dada la naturaleza continua del ataque, es imperativo que las organizaciones revisen su uso de Trivy en las canalizaciones de CI\/CD, eviten el uso de versiones afectadas y traten cualquier ejecuci\u00f3n reciente como potencialmente comprometida.<\/p>\n

\u00abEste compromiso demuestra la larga cola de ataques a la cadena de suministro\u00bb, dijo OpenSourceMalware. \u00abUna credencial obtenida durante el compromiso de Trivy GitHub Actions hace meses fue utilizada como arma hoy para desfigurar toda una organizaci\u00f3n interna de GitHub. La cuenta de servicio Argon-DevOps-Mgt, una \u00fanica cuenta de bot que une dos organizaciones con un PAT de larga duraci\u00f3n, era el eslab\u00f3n d\u00e9bil\u00bb.<\/p>\n

\u00abDesde la explotaci\u00f3n de la nube hasta los gusanos de la cadena de suministro y los limpiadores de Kubernetes, est\u00e1n creando capacidades y apuntando al propio ecosistema de proveedores de seguridad. La iron\u00eda de que una empresa de seguridad en la nube se vea comprometida por un actor de amenazas nativo de la nube no debe pasar desapercibida para la industria.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad han descubierto artefactos maliciosos distribuidos a trav\u00e9s de Docker Hub luego del ataque a la cadena de suministro de Trivy, destacando el creciente radio de explosi\u00f3n en los entornos de desarrolladores. La \u00faltima liberaci\u00f3n limpia conocida de trivia en Docker Hub es 0.69.3. Desde entonces, las versiones maliciosas 0.69.4, 0.69.5 y […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[24,1158,1159,820,923,1162,76,1160,1130,1163,1161],"class_list":["post-327","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-cyberdefensa-mx","tag-difunde","tag-docker","tag-hack","tag-infostealer","tag-kubernetes","tag-traves","tag-triggers","tag-trivy","tag-wiper","tag-worm"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=327"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/327\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}