La Comisión Europea ha confirmado una brecha de datos vinculada a una cadena de suministro de software que afectó a su entorno en AWS, después de que se detectara un uso indebido de credenciales y un incremento anómalo de tráfico en marzo de 2026. Según CERT-EU, el vector inicial de acceso fue una versión comprometida de Trivy, el escáner de vulnerabilidades de Aqua Security, que la Comisión utilizaba a través de canales normales de actualización sin saber que estaba alterada.
Los atacantes habrían aprovechado esa cadena de suministro para obtener una clave API de AWS con privilegios de gestión y, desde ahí, moverse dentro del entorno en la nube, recopilar secretos y extraer datos. Las cifras publicadas apuntan a la sustracción de alrededor de 340 GB de datos descomprimidos con información personal como nombres, usernames, direcciones de correo y mensajes vinculados a sitios alojados para la Comisión y otras entidades de la UE.
CERT-EU y la Comisión consideran con “alta confianza” que el acceso inicial se produjo el 19 de marzo y que, for the time being, no hay evidencia de movimiento lateral hacia otras cuentas de AWS de la institución. El caso, atribuido públicamente a TeamPCP y con filtración posterior por ShinyHunters, vuelve a poner el foco en el riesgo de confiar en herramientas de seguridad comprometidas y en la necesidad de controlar con rigor los componentes de CI/CD, rotate credentials and limit the impact of any dependency in the supply chain.
Fountain: SecurityWeek