TeamPCP 供应链攻击复活：26天沉寂后三线并发，Checkmarx/Bitwarden/Xinference 沦陷

⛓️ Critical 供应链攻击

威胁组织 TeamPCP 在沉寂 26 天后于 2026 年 4 月 21-22 日发动三起并发供应链攻击，分别攻陷 Checkmarx KICS Docker Hub、xinference PyPI 包和 Bitwarden CLI npm 包。攻击链利用凭证窃取、恶意镜像覆盖、Dependabot 自动化拉取及自传播蠕虫（CanisterSprawl）实现跨生态扩散，窃取凭证、令牌和内部配置。

来源：SANS ISC | 2026-04-27 | 原文链接

🔍 关键发现

• TeamPCP 结束 26 天停火期，在 npm、PyPI、Docker Hub 上同时发动三起供应链投毒事件，恢复主动攻击阶段。
• Checkmarx KICS Docker 镜像被覆盖，恶意版本通过 Bitwarden 的 Dependabot 自动化流水线级联感染 @bitwarden/cli npm 包，实现下游传播。
• 发现自传播 npm 蠕虫 CanisterSprawl，利用 postinstall 钩子窃取 40 类凭证，并能跨生态跳转至 PyPI，使用 ICP 链上容器作为 C2。

⚔️ 攻击链分析

1. 攻击者利用有效凭证登录 Checkmarx KICS Docker Hub 仓库，覆盖 5 个现有标签并创建 2 个新标签，植入后门。 2. Bitwarden 的 Dependabot 自动化构建流水线拉取恶意 KICS 镜像，导致 @bitwarden/cli 版本 2026.4.0 被植入恶意代码。 3. 同时，xinference PyPI 包被注入 base64 编码的凭证窃取器，自执行并外传 AWS/GCP/K8s 等凭证。 4. 自传播蠕虫 CanisterSprawl 通过 npm postinstall 钩子传播，若发现 PyPI 发布令牌则跨生态跳转。

🚩 失陷指标 (IOC)

• hxxps://audit.checkmarx[.]cx/v1/telemetry
• hxxps://whereisitat[.]lucyatemysuperbox[.]space/
• @bitwarden/cli 2026.4.0 (npm)
• checkmarx/kics:latest (Docker Hub 恶意摘要)
• xinference 2.6.0/2.6.1/2.6.2 (PyPI)
• @automagik, pgserve, @fairwords, @openwebconcept (npm 恶意包命名空间)
• Shai-Hulud: The Third Coming (恶意代码标识字符串)

🛡️ 缓解建议

• ✅ 立即审计并回滚 Checkmarx KICS Docker 镜像至已知安全版本（v2.1.19 及之前），清除所有受影响标签。
• ✅ 暂停使用 @bitwarden/cli 2026.4.0 版本，回退至 2026.3.x 并轮换所有在该构建期间暴露的 GitHub、npm、云服务令牌。
• ✅ 在 CI/CD 流水线中实施镜像签名验证（如 Docker Content Trust）和依赖哈希锁定，防止被篡改的自动化拉取。
• ✅ 监控 npm postinstall 钩子执行及对外可疑域名（audit.checkmarx[.]cx, whereisitat[.]lucyatemysuperbox[.]space）的出站流量。

涉及漏洞：["CVE-2026-33634"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。