概要
クラウドネイティブサイバーカリブリアンオペレーションであるTeamPCPが、供給チェーンセキュリティ企業CheckmarxのGitHub Actionsワークフローを不正に操作し、CI認証情報を盗んだと報告されています。
被害状況
Sysdigによると、この攻撃は3月19日から約4日後に発生しました。Checkmarxが維持する以下のワークフローが影響を受けたことが確認されています:
checkmarx/ast-github-actioncheckmarx/kics-github-action
この攻撃はCVE-2026-33634(CVSSスコア:9.4)として追跡されています。
攻撃の詳細
TeamPCPが使用する「Cloud stealer」と呼ばれるマルウェアは、SSHキー、Git、AWS、Google Cloud、Microsoft Azure、Kubernetes、Docker、.envファイル、データベース、VPNなどの認証情報を盗みます。CI/CD設定や暗号通貨ウォレットのデータも対象となります。
攻撃手法
このマルウェアは、被害者のGitHubパーソナルアクセストークン(PAT)を含むシークレット情報を収集します。これらのトークンが他のリポジトリに書き込み権限がある場合、攻撃者はそれらを使用して悪意のあるコードをプッシュすることができます。
被害の拡大
この攻撃は、Trivy供給チェーン侵害から始まり、Checkmarxのアクションに影響を与えた後、他のアクションにも被害が及ぶ可能性があります。これにより、一連の供給チェーン侵害につながる可能性があります。
対策
ユーザーは以下の手順をすぐに実行する必要があります:
- CIランナーにアクセス可能なすべてのシークレット、トークン、クラウド認証情報を更新します。
- GitHub Actionsワークフローの実行履歴で
tpcp.tar.gz、scan.aquasecurity.orgまたはcheckmarx.zoneを検索します。 - 「tpcp-docs」または「docs-tpcp」という名前のリポジトリがないか組織内で探します。
- GitHub ActionsのコミットSHAを完全な値にピン留めします。
- CIランナーからの不審なドメインへのアウトバウンドネットワーク接続を監視します。
元記事: https://thehackernews.com/2026/03/teampcp-hacks-checkmarx-github-actions.html