住宅用ルーターの侵害は最初のうちは局所的な問題に見えるかもしれませんが、GitHub Actions内のコード操作は全く別の物語に見えるかもしれません。しかし、2026年3月の出来事は、単一の邪悪なスレッドが家庭用ネットワークハードウェアを企業のCI/CDパイプラインに結び付けることができることを示しました。Ctrl-Alt-Intelによる調査報告書は、以前は孤立した事件と見なされていたXygeniへの攻撃は、TP-LinkおよびASUSデバイスをハイジャックして秘密のプロキシネットワークを調整することを目的とした広範なキャンペーンに不可分の形で関連していると結論づけています。
侵害されたエッジデバイスを住宅用プロキシに変換する敵対者を監視している間に、調査チームはコンシューマーグレードのTP-Linkルーター上のmicrosocksユーティリティの痕跡を発見し、ShadowLinkというダブルネーミングされたコマンドアンドコントロールモジュールと連動して動作していました。フォレンジック分析は驚くべき収束を明らかにしました:ShadowLinkによって使用される同一の通信プロトコル、コマンドシーケンス、および認証シークレットは、3月3日にXygeni GitHubアクションに注入された悪質なコンポーネント内でも発見されました。
Ctrl-Alt-Intelによると、攻撃者はTP-Linkハードウェア上のCVE-2024-21833を悪用して、デバイスのアーキテクチャを識別するスクリプトを実行し、SOCKS5プロキシを展開し、cron、rc.local、およびNVRAMを介して永続性を確立しました。正当なシステムプロセスに偽装して、これらのノードはトラフィックが国内IPアドレスに見せかけることを許可し、地理的ブロック、CAPTCHA、およびレート制限プロトコルを効果的にバイパスしました。ShadowLinkの軽量バリアントもASUSデバイスで検出され、今後の展開を容易にするための偵察用に設計されているようです。
Xygeni侵害との相関は特に注目に値します。GitHub Action内の悪質なコードがこの運用ロジックをミラーリングしたためです。3月初旬に、敵対者は不正なプルリクエストを送信し、その後v5タグを侵害されたコミットにリダイレクトしました。実行時に、アクションはテレメトリをコマンドアンドコントロールサーバーに送信し、受け取った命令を実行し、圧縮されたエンコードされた形式で結果を流出させました。正当性の見た目を維持するために、攻撃者はdirect IP-based接続に関連する疑いを避けるためにnip.ioドメインを利用しました。
報告書はさらにこれらの調査結果をTeamPCPの活動と比較しています。TeamPCPは以前、TrivyおよびCheckmarxを含む3月のインシデントに関連した脅威アクターです。それらのインフラストラクチャをリンクする決定的な技術的証拠は依然として不明瞭ですが、時系列の重複、目標の選択、およびプロキシネットワークへの関心は著しく一致しています。
Ctrl-Alt-Intelは絶対的な帰属を控えていますが、確固たる信念を維持しています:TP-LinkおよびASUSハードウェアの上に住宅用プロキシネットワークを設計しているオペレーターは、Xygeni侵害の背後にある同じアーキテクトでした。残りの曖昧さは、このアクターが確かにTeamPCP、関連団体、またはこれらの高度な方法論を巧みに採用した別のプレーヤーであるかどうかにあります。
