Supply Chain Attack

• テランクス社の Python ライブラリに悪性コードが埋め込まれ、PiPy で配布されたバージョンの脆弱性が発覚しました。
• ステeganography を使った隠匿や OS に特化した持久化実行バイナリの投下など、高度な攻撃手法が採用されています。
• 開発者は修正パッチを急遽公開しましたが、既に影響を受けたユーザーは cred のローテーションが必要です。

Python エコシステムを通じて大規模な基盤サービスへ攻撃が展開されており、既存のサプライチェーン対策で検出困難。

• TeamPCP 攻撃団体が、Trivy 供給チェーン被害から NPM、Docker Hub、VS Code、PyPI などへ開拓を広げ、Lapsus$ と連携して資金化している可能性が高まる。
• Aqua Security の Trivy や Checkmarx の VS Code パッケージ、NPM エコシステムへの複数工程のマルウェア注入攻撃により、秘密情報の盗難や大規模なクラスタ破壊が進行する中、CI/CD 保護の重要性が再確認された。
• CanisterWorm や Iran 指向型「kamikaze」と呼ばれるワイパーのような高度な機能を含む最新マルウェアが、開発者のトークンやインフラを標的とした横断的な攻撃力を示唆する。

TeamPCP の攻撃が単なる供給チェーン被害にとどまらず、開発者トークンと CI/CD プライビレージを横断して大規模なインフラ破壊や秘密盗難を行っているため、セキュリティ業界全体に重大な警鐘を鳴らしている。