脅威アクター集団「TeamPCP」に関連した大規模なソフトウェアサプライチェーン攻撃により、FBI サイバー部門から高優先度アラートが発令されました。攻撃者が人工知能(AI)エコシステムで広く使用されている開発者ツールに成功裏に侵入したためです。
このキャンペーンは、AI開発パイプラインを狙って大規模なマルウェア注入を行う敵対者の増加傾向を浮き彫りにしています。
攻撃はAqua Securityが保守する人気のあるオープンソース脆弱性スキャナー「Trivy」から始まりました。
これらの認証情報により、攻撃者は悪意のあるアップデートを公開リポジトリに直接プッシュすることができました。
Aqua Securityは、Trivyのオープンソース版のみが影響を受け、エンタープライズ顧客は保護されたままであることを確認しました。
しかし、この侵害は今後の攻撃に対する重大な足がかりを生み出しました。多くの開発環境がセキュリティスキャンの継続的実施にTrivyに依存しているためです。
最初の侵害を足がかりにして、TeamPCPはLiteLLMへと水平展開しました。LiteLLMはGPT-5やClaudeなどの主要大規模言語モデルと接続するアプリケーションを広く使用されているオープンソースAIゲートウェイです。
LiteLLMの開発パイプラインが侵害されたTrivyパッケージに依存していたため、攻撃者は機密公開認証情報を抽出することができました。
これらのキーを使用して、このグループはLiteLLMのトロイの木馬版を配布し、推定9,500万ユーザーに影響を与えました。
悪意のあるアップデートは、開発者がシステムクラッシュと異常な動作の報告を始め、調査が開始されるまで検出されませんでした。
LiteLLMはその後、Googleが所有するMandiantに法医学分析とインフラストラクチャセキュリティ保護の実施を依頼しました。
注目すべきことに、TeamPCPは人工知能を活用して攻撃機能を強化しました。このグループに関連する代表者は、AnthropicのClaudeモデルがマルウェアコンポーネントを生成し、侵入の様々な段階を自動化するために使用されたと主張しています。
セキュリティ研究者はキャンペーンで複数の戦術を観察しました:
このAIの使用により、悪意のあるペイロードの開発時間が大幅に短縮され、攻撃ライフサイクル全体の効率が向上しました。
TeamPCPは初期アクセスブローカー(IAB)として活動していると考えられています。これはサイバー犯罪エコシステムでますます一般的な役割です。
このグループはランサムウェアを直接展開する代わりに、他の脅威アクターへのアクセスを販売したり、影響を受けた組織から恐喝したりすることで侵入を現金化します。
このモデルにより、露出を最小限に抑えながら操業を拡大することが可能になり、防御者による検出と帰属がより困難になります。
この事件は、特にAI開発環境における現代的なソフトウェアサプライチェーンのシステム的な弱点を浮き彫りにしています。
多くの組織は、厳密な検証または機密管理コントロールを実装せずに、オープンソースツールに大きく依存しています。
サイバーセキュリティ専門家は、サードパーティコンポーネントへの信頼は検証と組み合わせる必要があることを強調しています。
AI導入が加速するにつれ、攻撃者はこれらのシステムを支える基盤となるツールとフレームワークをますます狙っています。
TeamPCPキャンペーンは、AIサプライチェーンの保護が現在世界中の組織にとって重要な優先事項であることを厳然たる警告として機能しています。
翻訳元: https://cyberpress.org/teampcp-hackers-target-ai/