CERT-EU: Europese Commissie gehackt via Trivy supplychain-aanval

In dit artikel:

CERT-EU meldt dat de hack van het Europa.eu-platform van de Europese Commissie waarschijnlijk het gevolg is van een eerdere compromise van de vulnerabilityscanner Trivy. Op 25 maart meldde de Europese Commissie dat één AWS-cloudaccount was gekraakt; onderzoek toonde dat aanvallers een gestolen AWS API-key gebruikten om toegang te krijgen tot andere AWS-accounts, met behulp van tools als TruffleHog om meer “secrets” te vinden en te valideren. Met de gekaapte credentials maakten zij extra access keys aan en exfiltreerden ongeveer 340 GB aan data, waaronder namen, e-mailadressen en inhoud van berichten.

De besmetting ontstond doordat aanvallers toegang kregen tot inloggegevens van Trivy‑ontwikkelaars en een gemanipuleerde Trivy‑release verspreidden via de gebruikelijke updatekanalen. De Europese Commissie gebruikte Trivy en ontving zo de malafide versie, wat leidde tot het lekken van AWS‑credentials van de Commissie en mogelijk zeker 29 andere EU‑entiteiten die op dezelfde Europa.eu‑hosting draaien. CERT‑EU meldt dat de criminelen achter de operatie (ShinyHunters) de gestolen gegevens openbaar hebben gezet. De zaak benadrukt risico’s van softwareleveringsketens en het belang van strikte sleutelbeheer- en updatecontroles binnen overheidsinfrastructuren.