TeamPCP供应链攻击：安全工具沦为数据窃取跳板，50万台机器沦陷

⛓️ Critical 供应链攻击

威胁组织TeamPCP在2026年2月至3月期间，对Trivy、KICS、LiteLLM等广泛使用的开源安全工具发起多阶段供应链攻击，通过篡改GitHub Actions和PyPI注册表植入恶意载荷，窃取云访问令牌、SSH密钥和Kubernetes密钥等敏感数据。该攻击已导致超50万台机器、300GB数据被窃取，并利用窃取的凭证进一步感染48个额外软件包，至少16家组织被公开勒索。

来源：Palo Alto Unit42 | 2026-03-31 | 原文链接

🔍 关键发现

• TeamPCP利用不完全的凭证轮换，通过伪造提交攻击（imposter commit）入侵Aqua Security Trivy的GitHub仓库，强制推送恶意代码至76个版本标签。
• 攻击载荷演化为三个版本：初始版直接读取进程内存窃取令牌，第二版采用模块化加载器，最终版CanisterWorm具备自复制和擦除功能，可扫描暴露的Docker API和SSH密钥。
• 攻击者利用窃取的npm发布令牌，在60秒内感染了@emilgroup、@opengov和@v7命名空间下的47个额外软件包，实现了快速横向传播。

⚔️ 攻击链分析

1. 初始入侵：利用不完全凭证轮换，攻陷Aqua Security Trivy的GitHub仓库，强制推送恶意代码至版本标签。 2. 载荷执行：恶意代码在合法扫描逻辑执行前运行，通过kamikaze.sh脚本窃取云凭证、SSH密钥等，并回传至仿冒域名scan.aquasecurtiy[.]org。 3. 横向传播：利用窃取的npm发布令牌，自动感染47个额外软件包，扩大攻击面。 4. 持久化与勒索：部署CanisterWorm实现自复制和C2通信，通过Telegram和暗网泄漏站点公开受害者信息，实施勒索。

🚩 失陷指标 (IOC)

• scan.aquasecurtiy[.]org
• tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0[.]io
• CVE-2025-55182 (React2Shell)

🛡️ 缓解建议

• ✅ 立即审查并轮换所有受影响的GitHub服务账户、npm发布令牌和云访问凭证，确保使用最小权限原则。
• ✅ 对CI/CD管道实施严格的代码签名和完整性校验，启用GitHub Actions的强制审查和签名提交策略。
• ✅ 监控异常网络连接，特别是对仿冒域名和已知C2域名的出站流量，并部署端点检测与响应（EDR）解决方案。

涉及漏洞：["CVE-2025-55182"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。