SocketとWizが広範な認証情報窃盗とワーム様の伝播を確認。テイクダウンにもかかわらず、悪意のあるTrivyアーティファクトがミラーインフラ全体で引き続き流通中。
広く使用されているセキュリティスキャナーであるTrivyへのサプライチェーン攻撃として始まったものは、Lapsus$に関連した恐喝キャンペーンへと発展し、すでに1,000以上のエンタープライズSaaS環境が侵害されている。
マンディアント・コンサルティングのCTOであるチャールズ・カルマカルは、火曜日にサンフランシスコで開催されたRSA Conference 2026に併設されたGoogle主催の脅威ブリーフィングでこの評価を行った。
「現在、この特定の脅威キャンペーンに積極的に対処している1,000以上の影響を受けたSaaS環境について知っています」と彼はこのイベントで述べ、CyberScoopが報じています。「1,000を超える下流の犠牲者は、さらに500件、別の1,000件、あるいはさらに10,000件に拡大する可能性があります。」
報告によれば、彼は今後数カ月にわたる広範な違反開示とその後の攻撃の展開を警告した。
この攻撃の背後にある犯罪の共謀は拡大している。最初の侵害はTeamPCPという名称の仲間のクラウドネイティブ脅威グループに帰属していたが、マンディアントの対応作業は、これらの行為者が盗まれたアクセス権を、高度な攻撃と積極的な恐喝で知られるグループであるLapsus$を含む、より広い犯罪ネットワークに流出させていることを明らかにした。
サイバーセキュリティ企業Semgrepのスタッフセキュリティアドボケートであるケイティ・パクストン・フィアは、同グループがさらなる攻撃のために既に準備されている可能性があると警告した。「攻撃者はオープンソースエコシステム全体でより多くの侵害を保有している可能性があり、警備が解除されるのを待ってから次の攻撃を開始する準備ができています」と彼女は述べた。
クラウドセキュリティ企業Wizとサプライチェーンセキュリティ企業Socketも、複数の面での拡大を文書化している。
拡大する被害範囲
Wizは、攻撃の技術的分析で、攻撃者がTrivy侵害時に盗まれた認証情報を使用して、クラウド環境の大部分に組み込まれた広く使用されているAIミドルウェアライブラリであるLiteLLMにリーチを拡大したことを発見した。
一方、Socketは、同じ侵害から盗まれたnpmパブリッシュトークンを活用して、npmエコシステム全体で29以上のパッケージにバックドアを仕掛けたCanisterWormという自己複製ワームを特定した。
攻撃者らは追加のオープンソースプロジェクトを標的にする意図も公開している。SocketがグループがTelegramに投稿したメッセージを報告しており、セキュリティ業界への嘲笑とキャンペーン拡大計画を示唆している。
パクストン・フィアは、エスカレーションのタイミングが計算されているようだと指摘した。「攻撃者は先週のTrivy攻撃時にLiteLLMへのアクセスをまず獲得しましたが、ディフェンダーがすでに高い警戒態勢にある間は急いで攻撃しませんでした」と彼女は述べた。「代わりに、彼らはアクセスを保持し、ディフェンダーが大規模なセキュリティカンファレンスで忙しくなるまで待ちました。」
Socketの脅威研究チームは、週末にDockerHub上の追加の侵害されたTrivyアーティファクト(バージョン0.69.5および0.69.6)を特定しました。これらは対応するGitHubリリースなしに発表され、同じ情報盗聴ペイロードを含んでいました。削除後でも、Socketはキャッシュされたコピーがmirror.gcr.ioを含むミラーインフラ全体を通じて流通し続けていることを発見しました。
同社はまた、攻撃者がAqua SecurityのGitHub組織を改ざんし、分析した日付付きスナップショットに基づいて、44のリポジトリすべての説明を「TeamPCP Owns Aqua Security」に変更していたことを発見した。
「これらのリポジトリの存在は、侵害時にGitHub組織に対するより深いレベルの制御を示唆しています」とSocketは分析に記載した。
永続的アクセスのパターン
これは約1ヶ月以内にTrivyエコシステムに影響を与える2番目の侵害である。Socketは2月下旬にOpenVSXで侵害されたAqua Trivy VS Code拡張機能リリースを特定し、現在はTrivy’sの公式GitHub ActionであるTrivy-actionがCI/CDワークフローでスキャンを実行するために悪用され、操作されたバージョンタグを通じてパイプライン全体に悪意のあるコードを配布している。
「短期間の同じベンダーの繰り返しの侵害は、永続的な弱点を示唆しています」と、SaaS セキュリティ管理企業AppOmniのCSOであるコーリー・マイケルは述べた。彼は、この方法はより広いパターンを反映していると述べた。攻撃者は個々の犠牲者を標的にするのではなく、信頼されたサプライチェーンコンポーネントの背後にある組織を侵害し、そのGitHubリポジトリと可変バージョンタグを使用して、下流ユーザーに大規模にリーチしている。
「多くの組織は、ビルドシステムと開発者がインターネットからサードパーティコードを自動的にプルして、レビューを限定的に、暗黙の信頼が多すぎるままにしています」とマイケルは述べた。「モダンソフトウェア配信における利便性と速度はガバナンスを上回っています。」
Semgrepの創設者兼CEOのアイザック・エバンスは、この事件が破られたパイプライン信頼がどのように簡単に再利用できるかを示していると述べた。「ディフェンダーは攻撃者と同じ考え方を採用する必要があります。静的コントロールまたは仮定された信頼に頼るのではなく、自分たちの表面を継続的に調査し、パイプラインの整合性を検証する必要があります」と彼は述べた。
影響が引き続き明らかになる中、Aqua Securityとマンディアントはまだ損害を完全に封じ込めるために取り組んでいる。
現在の状況
火曜日の更新で、Aqua Securityはインシデント対応企業Sygniasを有していることを述べた。すべての環境にわたる認証情報の失効と交換は進行中である。同社は、その商用製品は侵害されたオープンソース環境からアーキテクチャ的に隔離されており、影響を受けていないままであると主張している。
CyberScoopによると、マンディアントは、元の認証情報がどのように最初に盗まれたかをまだ決定していないと述べており、初期の盗難は直接の被害者の環境外で発生した可能性があり、ビジネスプロセスアウトソーサーまたはパートナー組織を通じてである可能性があると考えている。
AppOmniのマイケルにとって、この事件は業界がサードパーティコードへのアプローチを根本的に変える必要があることの警告である。「組織は、彼らが許可する外部コード、それがどのように承認されるか、どのようにピン留めされるか、そのコードが本番またはSaaS接続環境内で信頼される前に変更がどのように監視されるかについて、より強力なコントロールが必要です」と彼は述べた。
