# CanisterWorm / Trivy Supply Chain Attack - 2026 > [!abstract] Resumo > Em janeiro de 2026, o [[g0032-lazarus-group]] comprometeu a cadeia de suprimentos do Trivy - popular scanner de vulnerabilidades open-source da Aqua Security - para distribuir o malware [[stoatwaffle]] a desenvolvedores e equipes de segurança globalmente, em uma operação que ecoa o padrão SolarWinds mas alvejá ferramentas de segurança. **Data:** Janeiro de 2026 | **Categoria:** Supply Chain Compromise --- ## O que aconteceu Em janeiro de 2026, pesquisadores identificaram que o [[g0032-lazarus-group]] havia comprometido o pipeline de distribuição do Trivy - uma das ferramentas de scanning de vulnerabilidades em containers e infraestrutura mais utilizadas pela comunidade DevSecOps mundial, mantida pela Aqua Security. A operação, rastreada como "CanisterWorm", inseriu o malware [[stoatwaffle]] em versões modificadas do Trivy distribuídas por canais aparentemente legítimos. O vetor de comprometimento explorou a cadeia de dependências e o processo de build do projeto open-source, implantando código malicioso que era ativado durante a execução do scanner em ambientes de CI/CD. Dado que ferramentas de segurança como o Trivy são frequentemente executadas com privilégios elevados e acesso a infraestrutura sensível, o impacto potencial de cada comprometimento foi amplificado significativamente. O [[stoatwaffle]] funciona como loader modular que estabelece persistência e baixa payloads secundários, incluindo ferramentas de exfiltração e backdoors para acesso remoto. A campanha foi particularmente insidiosa por explorar a confiança implícita que organizações depositam em suas próprias ferramentas de segurança. A operação demonstra continuidade do padrão operacional do Lazarus em [[t1195-002-supply-chain-compromise|comprometimento de cadeia de suprimentos de software]] - o mesmo vetor utilizado no [[2020-12-solarwinds-supply-chain|ataque SolarWinds de 2020]] (APT29) e agora reproduzido pelo grupo norte-coreano contra o ecossistema de segurança open-source. --- ## Atores e Ferramentas - **Threat Actor:** [[g0032-lazarus-group]] (Coreia do Norte / DPRK) - **Campanha:** [[trivy-supply-chain-2026]] - **Malware:** [[stoatwaffle]] (loader modular) - **Software comprometido:** Trivy (Aqua Security - scanner de vulnerabilidades open-source) - **Técnicas MITRE:** [[t1195-002-supply-chain-compromise]], [[t1059-command-scripting-interpreter]], [[t1059-001-powershell]], [[t1036-masquerading]], [[t1027-obfuscated-files]] --- ## Impacto O impacto é potencialmente vasto devido à popularidade do Trivy no ecossistema DevSecOps: a ferramenta acumula milhões de downloads e é integrada em pipelines de CI/CD de empresas de [[technology|tecnologia]], [[financial|finanças]] e [[government|governo]] ao redor do mundo. No Brasil, equipes de desenvolvimento que adotaram DevSecOps com Trivy como parte de seu toolchain foram diretamente expostas. O comprometimento de uma ferramenta de segurança é particularmente danoso porque: 1. Ferramentas de segurança frequentemente operam com privilégios elevados 2. São executadas em ambientes de CI/CD com acesso a secrets e infraestrutura 3. A confiança implícita reduz o escrutínio sobre seu comportamento 4. O alcance em cascata pode comprometer toda a cadeia de desenvolvimento A Aqua Security emitiu alertas e patches de emergência. Organizações foram orientadas a verificar a integridade de suas instalações do Trivy e auditar logs de CI/CD para indicadores de comprometimento. --- ## Notas Relacionadas - [[trivy-supply-chain-2026]] - nota de campanha detalhada - [[g0032-lazarus-group]] - perfil do grupo de ameaça - [[stoatwaffle]] - perfil do malware distribuído - [[2020-12-solarwinds-supply-chain]] - ataque supply chain precedente (APT29) - [[t1195-002-supply-chain-compromise]] - técnica MITRE ATT&CK - [[t1059-001-powershell]] - execução de código pós-comprometimento