2026.04.03

[AID | Cybersecurity] TeamPCP 공급망 연쇄 공격 — 보안 도구 하나가 공공 클라우드를 열었다[AID | Cybersecurity] Trivy Supply Chain Compromise: TeamPCP Attack Timeline and Structure

오픈소스 보안 스캐너 Trivy 한 곳의 침해가 EU 집행위원회·Cisco·수천 개 조직까지 확산된 연쇄 공급망 공격 사례. 단일 취약점이 아니라 개발·배포 구조 자체가 공격 표면이 된 사건입니다.A single open-source security scanner became the entry point for a cascading supply chain attack reaching the EU Commission, Cisco, and thousands of other organizations. The development and deployment pipeline itself was the attack surface.

오픈소스 보안 도구 Trivy 침해로 탈취된 자격증명이 재사용되며, EU 집행위원회를 비롯한 다수 기관 침해로 확산된 사건입니다. 단일 취약점 악용이 아니라 개발·배포 파이프라인 자체가 공격 경로가 된 구조입니다.

60,000+	340GB	36%	24시간 이내
감염 서버 수 (Flare 관측)	EU 집행위 유출량 · 29개 기관 연루	클라우드 환경 내 LiteLLM 존재 비율 (Wiz)	자격증명 탈취 후 AWS 탐색 개시까지

공격 구조

공격은 세 단계로 흐르며 단계마다 피해 반경이 확장됩니다.

① Trivy 공급망 침해. 3/10 초기 침투 · 3/19 Trivy 오염 · CI/CD 자격증명 탈취.

② 자격증명 탈취 및 재사용. TruffleHog 검증 후 24시간 내 재활용 · LiteLLM·Telnyx·Checkmarx 연쇄 오염.

③ 클라우드 침투 및 데이터 탈취. AWS S3 · Secrets Manager · DB · GitHub 저장소. 도달한 엔드포인트: EU 집행위원회 (29개 기관 · 340GB · ShinyHunters 게시), Cisco (내부 개발 환경 · 저장소 300개+), Mercor 외 수천 개 기업 (LiteLLM 연계 · 포렌식 조사 중).

타임라인

시점	사건
2025.12	클라우드 웜 캠페인이 서버 6만 대+ 자동 감염 (Azure 60%, AWS 37%)
2026.02	GitHub Actions 오구성 악용 — 관리자 권한 토큰 최초 탈취, 접근 유지
03.01	1차 침해 공개 + 자격증명 회전 — 회전 불완전으로 공격자 접근 유지됨
03.10	★ TeamPCP, Trivy 침해에서 탈취한 AWS API 키로 EU 집행위원회 클라우드에 최초 침투 (BleepingComputer)
03.19	★ 악성 Trivy v0.69.4 + trivy-action 태그 전체 오염; CI/CD 자격증명 유출 시작; 1만 개+ 워크플로우 영향 (SANS)
03.20	안전 버전 배포, Aqua 가 자격증명 전량 교체 권고; CanisterWorm npm 확산 (이란 로캘 환경에서 시스템 삭제 기능 포함)
03.22	Docker 0.69.5·0.69.6 추가 오염; GitHub 조직 저장소 변조 식별; Docker Hub 재침투 확인
03.23	Checkmarx KICS + OpenVSX 침해; 탈취 자격증명 재사용; IDE 확장 오염
03.24	★ LiteLLM 1.82.7·1.82.8 PyPI 오염 + EU 집행위원회 AWS 초기 침투 탐지. LiteLLM은 전체 클라우드 환경의 36%에 존재 (Wiz). EC SOC 침해 탐지 — 초기 침투 5일 후
03.25	CERT-EU 통보
03.27	집행위원회 공식 공개 (BleepingComputer 문의 후); Telnyx 4.87.1·4.87.2 PyPI 오염, WAV 스테가노그래피로 악성코드 은닉
03.28	EU 데이터 다크웹 게시 — ShinyHunters 340GB 공개 (이름·이메일·발신 메일 51,992건 포함)
03.31	Wiz, AWS·SaaS 악용 분석 공개; Cisco · Mercor 피해 공개 (저장소 300개+ 유출)
04.03	★ CERT-EU, Trivy 침해가 EU 집행위원회 침투의 최초 경로임을 공식 확인. 71개 클라이언트 노출. 조사 진행 중

반복 가능한 공격 패턴

이 공격은 특정 조직을 겨냥한 일회성 사건이 아닙니다. 동일한 구조가 다른 도구·다른 기관에 반복 적용될 수 있습니다.

신뢰된 도구 침해. 보안 스캐너, AI 라이브러리, CI/CD 액션 등 개발팀이 신뢰하는 도구를 우선 공략합니다.
자동화된 파이프라인에서 자격증명 유출. CI/CD 가 수동 개입 없이 실행되는 구조를 이용해 클라우드 자격증명을 조용히 수집합니다.
탈취 자격증명의 빠른 재사용. TruffleHog 로 검증 후 24시간 내 다른 환경 침투 및 추가 패키지 오염에 즉시 활용합니다.
클라우드·SaaS 로 수평 확산. 단일 패키지 침해에서 AWS·GitHub·SaaS 로 빠르게 이동하며 피해 반경을 확대합니다.

신호

🔴 RISK: 단일 패키지 침해가 인프라 사고로 직결됩니다. 신뢰된 배포 경로가 침해되면 피해는 개발 환경을 넘어 기관 인프라 전체로 확산됩니다.

🟡 WATCH: 탐지보다 공격 속도가 빠릅니다. 자격증명 탈취 후 24시간 내 침투가 시작됩니다(Wiz). 정기 점검 사이클 기반 대응은 구조적으로 늦습니다.

🔵 SIGNAL: 개발 도구 자체가 전략적 공격 표적이 되었습니다. Trivy → LiteLLM → Telnyx → KICS. CI/CD 에 연결된 도구 전반이 공격 표면에 포함됩니다.

권고 조치

경영진 · 정책 담당자

Trivy, LiteLLM, Telnyx 영향 버전 사용 여부 확인 지시.
오픈소스 도구 공급망 보안을 기관 보안 정책 수준으로 관리.
오픈소스 도구 도입 및 CI/CD 연결 승인 프로세스 점검.

실무 보안 · 개발 담당자

영향 버전 즉시 제거 — Trivy v0.69.4–0.69.6, LiteLLM 1.82.7–1.82.8, Telnyx 4.87.1–4.87.2.
CI/CD 파이프라인 내 클라우드 자격증명 전량 교체.
GitHub Actions 태그 참조를 SHA 해시 방식으로 변경.
AWS CloudTrail · Azure Monitor 에서 비정상 탐색 활동 확인.

이건 패키지 해킹이 아니라 소프트웨어 운영 구조 자체가 공격 표면이 된 사건입니다.

출처: CERT-EU · Wiz · Flare · Aqua Security · SANS · CISA · BleepingComputer · Help Net Security · 2026.04

Credentials stolen through the Trivy open-source security scanner were reused across multiple packages and cloud environments, resulting in breaches at the EU Commission and thousands of other organizations. This was not a single vulnerability exploit. The development and deployment pipeline itself became the attack path.

60,000+	340GB	36%	under 24h
Servers compromised (Flare)	EU Commission data exposed · 29 institutions affected	of cloud environments run LiteLLM (Wiz)	from credential theft to AWS exploration

Attack structure

The attack flowed in three stages, each amplifying the blast radius of the previous one.

① Trivy supply chain compromise. Mar 10 initial access · Mar 19 Trivy poisoned · CI/CD credential theft.

② Credential theft and reuse. TruffleHog validation → reused within 24 hours · LiteLLM · Telnyx · Checkmarx cascade.

③ Cloud intrusion and data exfiltration. AWS S3 · Secrets Manager · databases · GitHub repositories. Endpoints reached: EU Commission (29 institutions · 340GB · published by ShinyHunters), Cisco (internal dev environment · 300+ repositories), Mercor and thousands of firms (LiteLLM-linked, forensics ongoing).

Timeline

Date	Event
Dec 2025	Cloud worm campaign infects 60,000+ servers (Azure 60% · AWS 37%)
Feb 2026	GitHub Actions misconfiguration exploited — privileged token stolen, access maintained
Mar 1	First disclosure + credential rotation — rotation incomplete, attacker access persisted
Mar 10	★ TeamPCP uses stolen AWS API key from Trivy compromise to breach EU Commission cloud environment (BleepingComputer)
Mar 19	★ Malicious Trivy v0.69.4 + trivy-action tags fully poisoned; CI/CD credential exfiltration begins; 10,000+ workflows affected (SANS est.)
Mar 20	Safe version released, Aqua recommends full credential rotation; CanisterWorm deployed via npm (deletes systems on Iranian locale detection)
Mar 22	Docker 0.69.5 · 0.69.6 additional poisoning; GitHub org repository tampering identified; Docker Hub re-intrusion confirmed
Mar 23	Checkmarx KICS + OpenVSX compromised; stolen credentials reused; IDE extensions poisoned
Mar 24	★ LiteLLM 1.82.7 · 1.82.8 PyPI poisoning + EU Commission AWS intrusion detected. LiteLLM present in 36% of cloud environments (Wiz). EC SOC detects breach — 5 days after initial access
Mar 25	CERT-EU notified
Mar 27	EC publicly discloses breach (after BleepingComputer inquiry); Telnyx 4.87.1 · 4.87.2 PyPI poisoned, payload hidden via WAV steganography
Mar 28	EU data published on dark web — ShinyHunters releases 340GB including 51,992 outbound emails
Mar 31	Wiz publishes AWS/SaaS abuse analysis; Cisco + Mercor breaches disclosed (300+ repos exfiltrated)
Apr 3	★ CERT-EU officially confirms Trivy compromise as initial access vector for EU Commission breach. 71 clients exposed. Investigation ongoing

The repeatable attack pattern

This was not a one-time incident. The same structure can be applied to different tools and institutions.

Compromise a trusted tool. Security scanners, AI libraries, and CI/CD actions trusted by dev teams are the primary targets.
Exfiltrate credentials via automated pipelines. CI/CD automation runs without human review — credentials are collected silently at scale.
Rapidly reuse stolen credentials. Validated via TruffleHog and deployed within 24 hours for cloud access and additional package poisoning.
Spread laterally across cloud and SaaS. From a single package, attackers move into AWS, GitHub, and SaaS — rapidly expanding blast radius.

What it signals

🔴 RISK: A single package breach becomes an infrastructure incident. Once trusted distribution paths are compromised, the blast radius extends beyond dev environments into institutional infrastructure.

🟡 WATCH: Attack speed exceeds detection speed. AWS exploration begins within 24h of credential theft (Wiz). Periodic review cycles are structurally too slow to respond.

🔵 SIGNAL: Developer tools are now strategic attack targets. Trivy → LiteLLM → Telnyx → KICS. Any tool connected to CI/CD pipelines is now part of the attack surface.

Recommended actions

Leadership & policy

Verify whether affected versions of Trivy, LiteLLM, or Telnyx were in use.
Elevate open-source supply chain security to institutional security policy.
Review approval processes for open-source tool adoption and CI/CD integration.

Security & engineering

Remove affected versions — Trivy v0.69.4–0.69.6, LiteLLM 1.82.7–1.82.8, Telnyx 4.87.1–4.87.2.
Rotate all cloud credentials used in CI/CD pipelines.
Pin GitHub Actions references to full SHA hashes.
Review AWS CloudTrail and Azure Monitor for anomalous exploration activity.

This was not a package hack. It was the software operating structure itself becoming the attack surface.

Sources: CERT-EU · Wiz · Flare · Aqua Security · SANS · CISA · BleepingComputer · Help Net Security · 2026.04