新たに**PCPJack**と呼ばれるマルウェアフレームワークが、露出したクラウドインフラから認証情報を窃取する一方で、**TeamPCP**によるシステムへのアクセスを積極的に排除しています。 標的となっているサービスには、Docker、Kubernetes、Redis、MongoDB、RayML、および脆弱なWebアプリケーションが含まれます。多くの場合、攻撃者はネットワーク上でラテラルムーブメントを行います。 **SentinelLabs**の研究者によると、PCPJackは大規模な認証情報窃取のために設計されており、その活動は金融詐欺、スパム操作、認証情報の転売、または恐喝によって収益化されている可能性が高いとのことです。 TeamPCPは、クラウドに焦点を当てた脅威グループであり、**Aqua Security**のTrivyスキャナー、**LiteLMM**および**Telnyx**のPyPIパッケージ、そして最近では**SAP**のnpmパッケージに対する著名なサプライチェーン侵害で知られています。 TeamPCPの攻撃との類似性から、SentinelLabsはPCPJackが元TeamPCPのアフィリエイトまたはメンバーによって開発され、独自のオペレーションを開始した可能性があると考えています。 「PCPJackフレームワークによって標的とされるサービスの多くは、2025年12月の初期のTeamPCP/PCPCatキャンペーンと類似していますが、2026年初頭の注目度の高いキャンペーンがTeamPCPに大きな注目を集め、グループメンバーシップの変更につながったとされています」と研究者は説明しています。 「私たちは、グループのツールに精通した元オペレーターであると考えています。」 本日公開されたレポートで、SentinelLabsはPCPJackが`bootstrap.sh`というシェルスクリプトを使用してLinuxベースのクラウドシステムに感染すると述べています。 実行されると、隠し作業ディレクトリを作成し、Python依存関係をインストールし、追加モジュールをダウンロードし、永続性を確立し、メインオーケストレーター（`monitor.py`）を起動します。 この初期段階で、PCPJackは明示的にTeamPCPツールを探し、すべてを削除しようとすることで、侵害を自分たちのものと主張します。 研究者によると、クリーニング活動には、TeamPCPのプロセス、サービス、コンテナ、ファイル、および永続性アーティファクトの削除が含まれ、感染を完全に排除します。  **TeamPCPアーティファクトの削除** *出典: SentinelLabs* PCPJackの機能は、主に認証情報窃取を中心に展開しており、クラウド環境、開発者システム、メッセンジャーアプリ、金融サービス、データベース、SSHキー、Slackトークン、WordPress設定、OpenAIキー、Anthropicキー、Discord、DigitalOceanなどを標的としています。 認証情報は、X25519 ECDHとChaCha20-Poly1305を使用して暗号化され、Telegramのメッセージ文字数制限を尊重して2800バイトのチャンクに分割された後、Telegramチャンネルに流出されます。  **PCPJack攻撃で標的とされるサービス** *出典: SentinelLabs* PCPJackは、Docker、Kubernetes、Redis、MongoDB、RayMLなどの露出したサービスを外部クラウドインフラでスキャンし、既知の脆弱性を悪用してアクセスを試みることで拡散します。 また、Common Crawlのparquetファイルからホスト名データをダウンロードし、スキャンプロセスで新しい標的として使用します。 ### 悪用された脆弱性 SentinelLabsの研究者は、PCPJackが以下の脆弱性を悪用していると指摘しています。 * **CVE-2025-29927**: 作成されたヘッダーを介したNext.jsミドルウェアでの認証バイパス * **CVE-2025-55182** (“React2Shell”): ReactおよびNext.jsにおけるServer Actionsのデシリアライゼーションの不具合 * **CVE-2026-1357**: WPVivid Backupにおける未認証のファイルアップロード * **CVE-2025-9501**: キャッシュされたmfuncコメントを介したW3 Total CacheでのPHPインジェクション * **CVE-2025-48703**: CentOS Web Panel FilemanagerのchangePerm機能におけるシェルインジェクション 侵害された環境内では、マルウェアはSSHキーと認証情報を収集し、KubernetesクラスターとDockerデーモンを列挙し、到達可能な内部ホストで自己を実行することで、ラテラルムーブメントを実行します。 アクセスが取得されると、systemdサービス、cronジョブ、Redis cronリライト、または特権コンテナを使用して永続性を確立してから、拡散を続行します。 SentinelLabsは、攻撃者のインフラストラクチャ上で**Sliver**ベースのバックドアも発見しており、x86_64、x86、ARMシステムアーキテクチャをサポートするバリアントが存在します。 ### 緩和策 このリスクを軽減するために、研究者は多要素認証（MFA）の実施、AWSでのIMDSv2の使用、DockerおよびKubernetesサービスに対する適切な認証の確保、最小権限の原則の遵守、およびプレーンテキストでのシークレットの保存を避けることを推奨しています。