自己増殖型マルウェアがオープンソースソフトウェアを汚染
新たなハッキンググループであるTeamPCPは、インターネット上で継続的なキャンペーンを展開しており、自己増殖可能なバックドアとデータ消去プログラムを使用しています。このグループは、クラウドホストプラットフォームの不適切なセキュリティ設定を利用して、分散型プロキシやスキャンインフラストラクチャを作成し、サーバーを乗っ取り、データを漏洩させ、ランサムウェアを展開しています。
Trivy脆弱性スキャナの供給チェーン攻撃
TeamPCPは最近、Trivy脆弱性スキャナーのすべてのバージョンを乗っ取りました。これは、Aqua Security(Trivyの作成者)のGitHubアカウントに権限を持つアクセスを得た結果です。
npmレポジトリへの攻撃
このマルウェアはnpmリポジトリへのアクセストークンを検索し、悪意のあるコードで汚染された新しいバージョンのパッケージを作成します。Aikidoは、60秒以内に28のパッケージが攻撃を受けたことを観察しました。
イラン向けのデータ消去プログラム
最近の更新では、TeamPCPはイラン向けの新しいデータ消去プログラム「Kamikaze」を追加しました。このプログラムは、イランのタイムゾーンまたはその国の設定を持つマシンでアクティブになります。
攻撃者の意図
TeamPCPがイラン向けにデータ消去プログラムを作成した理由は不明です。これまでのところ、このグループの動機は財務的利益でしたが、「Kamikaze」のようなプログラムはその特性とは異なります。
Aqua Securityへの攻撃
TeamPCPはまた、Aqua SecurityのDocker Hubアカウントを乗っ取り、Trivyスキャナーの悪意のある更新版を公開しました。さらに、44の内部リポジトリが改ざんされ、ソースコードやCI/CDパイプラインなどが漏洩しています。
開発組織への影響
CanisterWormは、開発組織が被害に遭っている可能性があることを示唆しています。AikidoとSocketは、これらの組織が攻撃を受けているかどうかを確認するためのインジケーターを公開しました。