FBI サイバー部門は、脅威行為者グループ TeamPCP が調整した大規模なサプライチェーン攻撃を受けて、重大な警告を発表しました。
ハッカーは 2 つの広く使用されている開発者ツールを正常に侵害し、人工知能ソフトウェアを構築している組織にセキュリティの連鎖反応事象を引き起こしました。
脆弱な認証情報管理を悪用し、AI 支援コーディングを活用することで、グループは数百万のエンドユーザーに悪質な更新プログラムを配布しました。
侵害は 2 つの異なるフェーズで発生し、人気のあるセキュリティツールから始まり、主要な AI フレームワークに移動しました。TeamPCP は最初に Aqua Security が管理するオープンソースの脆弱性スキャナーである Trivy をターゲットにしました。
Forbes によると、攻撃者は自動エージェントを使用してスキャナーを騙し、GitHub 認証キーを公開させました。
これらの認証情報を使用して、彼らは感染した Trivy のバージョンをパブリック リポジトリに公開しました。Aqua Security は、オープンソース版のみが影響を受けたこと、および商用顧客ベースは安全なままであることを確認しました。
Trivy の侵害により、LiteLLM に対する攻撃の第 2 フェーズが直接可能になりました。このオープンソース AI ゲートウェイは、アプリケーションを GPT-5 や Claude などの主要な大規模言語モデルに接続します。
LiteLLM の開発環境が侵害された Trivy バージョンを使用していたため、TeamPCP は LiteLLM プラットフォームの公開キーを抽出することができました。
その後、彼らはほぼ 9,500 万人の開発者のユーザーベースに悪質なコードをプッシュしました。侵害は、感染したソフトウェアがユーザーシステムをクラッシュさせたときにのみ発見されました。
AI ツールのターゲット化を超えて、TeamPCP は AI を積極的に使用して攻撃的な作戦を加速させました。グループを代表する脅威行為者は、Anthropic の Claude を使用して特定のマルウェア コンポーネントを書き、導入を高速化したことを確認しました。
攻撃と脅威行為者の詳細
- 横方向への移動: グループは Claude を使用して、マルウェアが感染したネットワーク環境全体に拡散するのを助けるスクリプトを生成しました。
- 認証情報の収集: 攻撃者は、初期の Trivy 侵害から GitHub および公開キーの抽出を自動化しました。
- 収益化戦略: TeamPCP は、ランサムウェア オペレータへのネットワーク アクセスを販売するか、被害者を直接脅迫することで、初期アクセス ブローカーとして機能します。
LiteLLM は Google の Mandiant に従事して、インシデントを調査し、インフラストラクチャを保護しています。
サイバーセキュリティ専門家は、この攻撃が AI 開発パイプラインの重大な脆弱性を浮き彫りにしていることに注意しています。
開発者は、内部コード監査を実施したり、厳密なシークレット管理を実装したりすることなく、オープンソース ツールを疑いなく信頼することがよくあります。
同様のサプライチェーン侵害を防ぐために、組織は API キーをセキュリティで保護し、本番環境に展開する前に、すべてのサードパーティ ソフトウェアを完全に確認する必要があります。
翻訳元: https://gbhackers.com/teampcp-hackers-focus-on-ai-developers/
