CanisterWorm : TeamPCP infecte Trivy et 66 packages npm

Comment TeamPCP a transformé Trivy en arme d'infection

Le 20 mars 2026, des chercheurs d'Aikido Security et de Wiz ont détecté une activité anormale dans les releases officielles de Trivy, l'outil open source d'Aqua Security utilisé par des millions de pipelines DevOps pour scanner les images Docker et les dépendances. Le groupe TeamPCP, déjà connu pour ses attaques supply chain contre LiteLLM et Checkmarx KICS, avait injecté un credential stealer dans les packages trivy, trivy-action et setup-trivy. Tout développeur ou pipeline ayant exécuté Trivy pendant la fenêtre d'exposition a potentiellement été compromis.

À partir de ces accès, TeamPCP a déployé CanisterWorm, un ver npm d'un genre nouveau. En exploitant les tokens npm volés, le ver a publié de manière autonome des versions malveillantes de 66 packages appartenant à des organisations comme EmilGroup, OpenGov, Airtm et Pypestream — soit 141 artefacts malveillants au total. Une fois installé sur un système Linux, CanisterWorm établit sa persistance via une unité systemd et survit aux redémarrages. La propagation s'est faite entièrement via les pipelines CI/CD, sans interaction humaine requête par requête.

L'élément le plus préoccupant de cette attaque est son infrastructure de commande et contrôle. Selon Palo Alto Networks et Wiz, CanisterWorm utilise un canister ICP — un smart contract immuable déployé sur la blockchain Internet Computer — comme dead-drop resolver. Ce canister retourne simplement une URL de C2 lorsqu'il est interrogé. Contrairement à un domaine ou à une IP, un canister blockchain ne peut pas être saisi, bloqué par les registres DNS ou retiré sur plainte. C'est la première utilisation publiquement documentée d'ICP comme infrastructure C2 pour un malware.

Pourquoi cette attaque redéfinit les risques supply chain DevSecOps

Les attaques supply chain via npm ne sont pas nouvelles, mais celle-ci franchit un seuil symbolique : l'outil de sécurité lui-même est devenu le vecteur d'infection. Trivy est intégré dans les pipelines CI/CD précisément pour détecter ce type de compromission — le retourner contre ses utilisateurs est une stratégie de confusion délibérée. Pour les équipes DevSecOps, cela signifie que la chaîne de confiance ne peut plus s'arrêter aux outils de sécurité : chaque composant, y compris les scanners, doit faire l'objet d'une vérification d'intégrité indépendante (hash SHA, signature Sigstore/Cosign).

L'usage d'ICP comme C2 complique également la réponse aux incidents. Les équipes de sécurité habituées à bloquer des IOC réseau (IP, domaines) n'ont ici aucune prise directe sur l'infrastructure de contrôle. Les défenseurs doivent désormais envisager le blocage des requêtes sortantes vers les nœuds ICP comme mesure préventive dans les environnements sensibles, au risque de bloquer des applications Web3 légitimes.

Ce qu'il faut retenir

• Vérifiez immédiatement les logs de vos pipelines CI/CD entre le 19 et le 25 mars 2026 pour toute exécution de Trivy, trivy-action ou setup-trivy.
• Activez la vérification des signatures (Sigstore/Cosign) et des checksums SHA pour tous vos outils de sécurité, pas seulement vos dépendances applicatives.
• Mettez à jour Trivy vers la dernière version vérifiée et révoquez tout token npm potentiellement exposé dans vos environnements CI/CD.