ソフトウェアビルドパイプラインが危機に瀕しています。2026年3月から4月の間、金銭目的の脅威グループとして知られているTeamPCPは開発者ツールチェーンを乗っ取るための協調したキャンペーンを開始しました。
グループはエンドユーザーシステムを直接ハッキングする代わりに、主要なプログラミングエコシステムの信頼されたインフラストラクチャを操作しました。
配布チャネルに毒を盛り、署名されたリリースを偽造することで、TeamPCPはセキュリティ監視者が侵入に気づく前に、機密の開発者認証情報、クラウドキー、継続的統合(CI)トークンを成功裏に収集しました。
4月22日、TeamPCPはCheckmarx KICSに対する非常に複雑な攻撃を行いました。
脅威アクターは盗まれたアクセストークンを使用して、Docker Hub、VS Code拡張機能、およびGitHub Actionsワークフローという3つの主要な配布チャネルに同時に毒を盛りました。
1時間以上にわたり、攻撃者は大規模なJavaScript認証情報窃取マルウェアを隠した悪意のある更新をプッシュしました。
開発者パイプラインが通常のKICSスキャンを実行すると、毒性のあるアーティファクトが静かに悪意のあるペイロードをダウンロードしました。
その影響は即座でした。24時間以内に、攻撃者は新たに盗まれた開発者トークンを使用してBitwardenコマンドラインインターフェイス(CLI)パッケージを乗っ取りました。
このダウンストリーム攻撃は、マルウェアがGitHubコミットメッセージから直接バックアップコマンドアンドコントロールドメインを取得できるようにする巧妙なフォールバックメカニズムを導入しました。
これにより、攻撃者は主要なサーバーがオフラインになった場合でも、感染したシステムとの接触を維持できることが保証されました。
わずか2日後、TeamPCPは再び攻撃を行い、人気のあるelementary-data PyPIパッケージを標的にしました。KICS攻撃は運用上複雑でしたが、この侵害は恐ろしいほど単純でした。
攻撃者は公開されたGitHubプルリクエストに単一の悪意のあるコメントを投稿しました。
プロジェクトの自動化されたワークフローがコメントテキストをサニタイズなしで処理したため、この単一の文はシステムを悪意のあるコマンドを実行するようにだましました。
リポジトリ自身の信頼された権限を使用して、攻撃者はCIパイプラインに侵害されたパッケージ更新をビルド、署名、および公開することを強制しました。
悪意のあるリリースはプロジェクトの正当な暗号署名を持っていたため、標準的なPyPIセキュリティチェックを完全にバイパスしました。汚染されたパッケージは発見される前の丸1日間、大量にダウンロードされました。
コードはアンチウイルススキャナーを回避するためにカスタム暗号を使用し、管理対象シークレットストアからパスワードをダンプするためにライブAWS Cloud APIを積極的に悪用しました。
80の異なるファイルパスを体系的に検索し、データベースパスワード、Kubernetesトークン、および暗号通貨ウォレットをすくい上げました。
翻訳元: https://cyberpress.org/teampcp-targets-build-credentials/