ハッカーが正規のソフトウェアを改ざんして悪意のあるコードを注入するソフトウェアサプライチェーン攻撃は、かつては比較的まれな出来事でした。しかし現在、**TeamPCP**はこの脅威をほぼ毎週発生する事態に変え、数百のオープンソースツールを改ざんし、ソフトウェア開発エコシステムへの信頼を揺るがしています。 ### GitHub侵害：最新の被害者 火曜日、**GitHub**はソフトウェアサプライチェーン攻撃に起因する侵害を発表しました。**GitHub**の開発者が、**Microsoft**所有のコードエディタである**VSCode**用の侵害された拡張機能をインストールしました。**TeamPCP**は、**GitHub**の約4,000のコードリポジトリにアクセスしたと主張しています。**GitHub**は、顧客のコードではなく、自社のコードを含む少なくとも3,800のリポジトリが侵害されたことを確認しました。 「私たちは今日、GitHubのソースコードと内部組織を販売するためにここにいます」と**TeamPCP**はBreachForumsに投稿し、真正性を証明するためのサンプルを提供しました。 ### 悪質なキャンペーン **GitHub**の侵害は、一連のソフトウェアサプライチェーン攻撃の最新のものです。**Socket**によると、**TeamPCP**は最近数ヶ月で20回の「波」の攻撃を実施し、500以上の異なるソフトウェアパッケージにマルウェアを隠していました。 これらの侵害されたツールにより、**TeamPCP**は多数の企業に侵入することができました。**Wiz**の**Ben Read**は、**GitHub**の侵害は最大規模かもしれないが、各インシデントは影響を受けた組織に大きな影響を与えると指摘しています。 ### 手口：循環する攻撃 **TeamPCP**の中核的な戦術は、ソフトウェア開発者を悪用することです。彼らは、**VSCode**拡張機能や**AntV**データ可視化ソフトウェアなど、オープンソースツールが開発されているネットワークにアクセスします。その後、マルウェアがツール内に仕込まれ、他の開発者のマシンに感染します。 これにより、ハッカーは認証情報を盗み、ソフトウェア開発ツールの悪意のあるバージョンを公開することができ、侵害の自己永続的なサイクルを生み出します。 ### Mini Shai-Hulud：ワームによる自動化 最近、**TeamPCP**はMini Shai-Huludとして知られる自己拡散型ワームを使用して攻撃を自動化しました。このワームは、SF小説『デューン』にちなんで、被害者から盗まれた暗号化された認証情報を含む**GitHub**リポジトリを作成します。このワームは、9月に登場したShai-Huludサプライチェーン侵害ワームに触発された可能性が高いですが、**TeamPCP**とこの以前のマルウェアとの間には確認された関連はありません。 ### 注意を引くための戦術 **Socket**の**Philipp Burckhardt**は、**TeamPCP**が注意を引こうとしていると指摘しており、彼らのダークウェブサイトは*マトリックス*風のビジュアルと「TEAMPCP: The Cats Hijacking Your Supply Chains.」というタグラインを特徴としています。 サプライチェーン攻撃に焦点を当てる前に、**TeamPCP**はクラウドの設定ミスと**Next.js**の脆弱性を悪用して、認証情報窃盗と仮想通貨マイニングのためのボットネットを展開していました。 **Palo Alto Networks**の**Nathaniel Quist**は、長期間有効な認証情報と認証トークンの悪用によって推進される、これらの攻撃の急速な拡散を強調しています。 ### 経済的動機と地政学的な背景 **TeamPCP**は経済的に動機づけられているようで、ランサムウェアやデータ恐喝に関与しています。彼らは盗まれたデータを販売することにも意欲を示しています。**GitHub**のケースでは、身代金を求めているのではなく、データを破壊する前に単一の買い手に販売すると述べていました。 このグループは地政学にも進出し、イランの**Kubernetes**クラウドインフラを標的としたワイパーであるCanisterWormを展開しました。さらに、**TeamPCP**を名乗る組織が、オリジナルのShai Huludワームのソースコードをリークしました。 ### 標的範囲の拡大 **TeamPCP**の標的は3月に大幅に拡大し、オープンソースセキュリティスキャナーである**Trivy**にインフォスティーラーを埋め込みました。その後、盗まれた認証情報を使用して、**PyPI**上の**LiteLLM** AI APIツールのバージョンを侵害しました。彼らはまた、**Checkmarx**、**pgserve**、**TanStack**、**Mistral AI**も標的にしています。 ### 重大な影響と緩和策 これらの攻撃は、**欧州委員会**、**Mercor**、**OpenAI**などでの侵害につながりました。**Quist**は、リスクを軽減するために、認証トークンの慎重な管理やアクセス制限の実装など、セキュリティ「衛生」慣行の重要性を強調しています。 「このオペレーションを成功させている最大の機会主義的な要因は、これらの環境における長期間有効な認証情報です」とQuistは付け加え、堅牢な認証情報管理慣行の必要性を強調しました。