O ataque foi identificado pelo pesquisador de segurança Paul Mc Carty no final da semana passada e ainda está em expansão.

000 ambientes Saa S afetados neste momento que estão lidando ativamente com esse agente de ameaça específico", disse Charles Carmakal, diretor de tecnologia da Mandiant Consulting, durante um evento do Google.

000 vítimas provavelmente se expandirão para outras 500, outras 1.

" Os criminosos estão colaborando com grupos de extorsão de alto perfil, incluindo o Lapsus.

"Estamos vendo uma convergência perigosa entre invasores da cadeia de suprimentos e grupos de extorsão de alto perfil como o LAPSUS$", disse Ben Read, pesquisador-chefe da Wiz, empresa de segurança pertencente ao Google.

Eles são baseados principalmente nos Estados Unidos, no Reino Unido, no Canadá e na Europa Ocidental.

O Trivy é uma ferramenta de código aberto usada para identificar vulnerabilidades, configurações incorretas e segredos expostos em ambientes de desenvolvimento.

Desenvolvedores costumam integrá-lo diretamente em seus pipelines de CI/CD, sistemas automatizados de construção e publicação de software.

Essa integração é o que tornava o scanner um alvo estratégico.

Quem controla o Trivy tem acesso a chaves de API, credenciais de nuvem, tokens do Git Hub e uma série de outros segredos confidenciais que passam pelo pipeline durante o desenvolvimento.

O comprometimento começou em fevereiro, quando o Team PCP explorou uma configuração incorreta no componente Git Hub Action do Trivy.