## TeamPCP、サプライチェーン攻撃後にイラン標的ワイパーを展開 金銭目的のデータ窃盗・恐喝グループである**TeamPCP**は、セキュリティの不備があるクラウドサービスを通じて拡散するワームを展開し、イラン紛争への介入を試みています。このワームは、イランのタイムゾーンを使用している、またはデフォルト言語がペルシャ語に設定されている感染システム上のデータをワイプします。 専門家によると、イランに対するワイパーキャンペーンは先週末に顕在化しました。2025年12月、同グループは、露出したDocker API、Kubernetesクラスタ、Redisサーバー、およびReact2Shellの脆弱性を標的とした自己拡散型ワームを使用して、企業のクラウド環境を侵害し始めました。その後、TeamPCPは被害者ネットワーク内を横断的に移動し、認証情報を窃取し、Telegramを通じて被害者を恐喝しようとしました。  ## クラウドネイティブな悪用プラットフォーム 1月に公開されたTeamPCPのプロファイルで、セキュリティ企業**Flare**は、同グループがエンドポイントを悪用するのではなく、露出したコントロールプレーンを武器化し、エンドユーザーデバイスよりもクラウドインフラを主に標的としていると述べています。**Azure**（61%）と**AWS**（36%）が侵害されたサーバーの97%を占めています。 「TeamPCPの強みは、新しいエクスプロイトやオリジナルのマルウェアにあるのではなく、大規模な自動化と既知の攻撃技術の統合にあります」と、**Flare**の**Assaf Morag**は述べています。「同グループは、既存の脆弱性、設定ミス、再利用されたツールをクラウドネイティブな悪用プラットフォームに工業化し、露出したインフラストラクチャを自己拡散型の犯罪エコシステムに変えています。」 ## Trivyサプライチェーン攻撃 3月19日、TeamPCPは**Aqua Security**の脆弱性スキャナー**Trivy**に対してサプライチェーン攻撃を実行し、GitHub Actionsの公式リリースに認証情報窃盗マルウェアを注入しました。Aqua Securityはその後、有害なファイルを削除しました。セキュリティ企業**Wiz**は、攻撃者がSSHキー、クラウド認証情報、Kubernetesトークン、および仮想通貨ウォレットをユーザーから盗む悪意のあるバージョンを公開できたと指摘しています。 ## CanisterWormとイランとの繋がり 週末にかけて、TeamPCPがTrivy攻撃で使用したのと同じ技術インフラストラクチャが、ユーザーのタイムゾーンとロケールがイランに対応していると判断された場合にワイパー攻撃を実行する新しい悪意のあるペイロードを展開するために利用された、と**Aikido**のセキュリティ研究者である**Charlie Eriksen**は述べています。日曜日に公開されたブログ投稿で、Eriksenは、ワイパーコンポーネントが被害者がイランにいると判断し、Kubernetesクラスタへのアクセス権を持っている場合、そのクラスタのすべてのノード上のデータを破壊すると述べています。 「そうでない場合は、ローカルマシンをワイプするだけです」とEriksenはKrebsOnSecurityに語りました。  AikidoはTeamPCPのインフラストラクチャを「**CanisterWorm**」と呼んでいます。これは、同グループが改ざん防止されたブロックチェーンベースの「スマートコントラクト」であるInternet Computer Protocol（ICP）カンニスターを使用してキャンペーンをオーケストレーションしているためです。ICPカンニスターは、訪問者に直接Webコンテンツを提供でき、その分散型アーキテクチャはテイクダウンの試みに抵抗力があります。これらのカンニスターは、オペレーターがオンライン状態を維持するために仮想通貨の手数料を支払い続ける限り、到達可能であり続けます。 Eriksenによると、TeamPCPの背後にいる人々はTelegramのグループで彼らのエクスプロイトについて自慢しており、ワームを使用して、大手企業、特に大規模な多国籍製薬会社から大量の機密データを盗んだと主張しています。 ## GitHubマルウェア問題 セキュリティ専門家によると、スパム化されたGitHubメッセージは、TeamPCPがマルウェアで汚染されたコードパッケージがGitHub検索で目立つようにするための方法である可能性があるとのことです。本日公開されたニュースレター「*GitHub is Starting to Have a Real Malware Problem*」で、**Risky Business**のレポーターである**Catalin Cimpanu**は、攻撃者がしばしば意味のないコミットをリポジトリにプッシュしたり、GitHubのスターと「いいね」を販売するオンラインサービスを使用して、悪意のあるパッケージをGitHub検索ページのトップに維持していると書いています。 今週末の発生は、2ヶ月間でTrivyが関与する2回目の主要なサプライチェーン攻撃です。2月末には、TrivyはHackerBot-Clawと呼ばれる自動化された脅威の一部として攻撃され、GitHub Actionsの設定ミスを大量に悪用して認証トークンを盗みました。 ## KICS侵害 Wizは、TeamPCPが**Checkmarx**の**KICS**脆弱性スキャナーにも認証情報窃盗マルウェアをプッシュし、スキャナーのGitHub Actionが本日（3月23日）12:58から16:50 UTCの間に侵害されたと報告しています。 ## 結論 TeamPCPの最近の活動は、クラウドインフラストラクチャとサプライチェーンがますます魅力的な標的となっている、増大する脅威の状況を示しています。セキュリティ担当者は、クラウド環境の保護、堅牢なサプライチェーンセキュリティ対策の実施、および新たな脅威に対する警戒を優先する必要があります。