TeamPCP供应链攻击重启:26天沉寂后三路并发,Checkmarx、Bitwarden、xinference沦陷
⛓️ Critical 供应链攻击
安全分析师发现,沉寂26天的TeamPCP供应链攻击活动在2026年4月21-22日集中爆发,同时针对Docker Hub、npm和PyPI三个生态发起攻击。攻击者通过窃取合法凭证,先后攻陷Checkmarx KICS Docker镜像、xinference PyPI包,并利用Bitwarden的Dependabot自动化流水线级联感染@bitwarden/cli npm包,同时自传播型npm蠕虫CanisterSprawl也开始活跃。
来源:SANS ISC | 2026-04-27 | 原文链接
🔍 关键发现
- TeamPCP在26天暂停后恢复技术渗透阶段,4月21-22日同时发起三路供应链攻击,覆盖npm、PyPI和Docker Hub。
- Checkmarx KICS Docker仓库被入侵,恶意镜像覆盖5个现有标签并创建2个新标签,窃取基础设施即代码扫描输出(含凭证、令牌和内部拓扑)。
- Bitwarden的Dependabot自动化CI/CD流水线在危险窗口内拉取了被污染的checkmarx/kics:latest镜像,导致@bitwarden/cli版本2026.4.0被植入恶意代码,影响约334次下载。
- xinference PyPI包(版本2.6.0-2.6.2)被植入双重Base64编码的凭证窃取器,自动扫描AWS/GCP/K8s/SSH/API密钥等40类凭证,TeamPCP公开否认并称其为模仿攻击。
- 自传播npm蠕虫CanisterSprawl通过postinstall钩子执行,利用Internet Computer Protocol (ICP)罐区作为C2架构,可跨生态跳转到PyPI。
⚔️ 攻击链分析
1. 凭证窃取与初始入侵:攻击者获取Checkmarx Docker Hub发布者凭证,登录并推送恶意镜像覆盖官方标签。2. 镜像投毒与横向渗透:被污染的KICS镜像在扫描时外泄IaC输出(含凭证),同时通过VS Code扩展静默下载第二阶段mcpAddon.js载荷。3. 级联供应链感染:Bitwarden的Dependabot自动拉取恶意KICS镜像,在构建流水线中注入恶意代码并发布到npm,形成下游消费者感染。4. 多生态扩散:CanisterSprawl蠕虫通过npm postinstall钩子收集凭证,若发现PyPI发布令牌则自动跨生态传播。
🚩 失陷指标 (IOC)
hxxps://audit.checkmarx[.]cx/v1/telemetryhxxps://whereisitat[.]lucyatemysuperbox[.]space/@automagik, pgserve, @fairwords, @openwebconcept (恶意npm包命名空间)checkmarx/kics:latest (恶意Docker镜像标签)@bitwarden/cli 2026.4.0 (被篡改的npm包版本)xinference 2.6.0, 2.6.1, 2.6.2 (被投毒的PyPI包版本)cx-dev-assist 1.17.0/1.19.0, ast-results 2.63.0/2.66.0 (恶意VS Code扩展)
🛡️ 缓解建议
- ✅ 立即审查并回滚Checkmarx KICS Docker镜像至安全版本,验证所有标签的完整性哈希。
- ✅ Bitwarden CLI用户应立即更新至2026.4.0之后的版本,并轮换所有可能暴露的GitHub/npm/AWS/GCP/Azure凭证。
- ✅ 对CI/CD流水线中的Dependabot和自动化依赖更新实施镜像签名验证和完整性检查。
- ✅ 监控npm、PyPI和Docker Hub生态中可疑的包/镜像更新,特别是与已知恶意命名空间相关的发布活动。
- ✅ 部署供应链安全工具(如Socket、StepSecurity)以检测恶意postinstall钩子和异常数据外泄行为。
涉及漏洞:["CVE-2026-33634"]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。