TeamPCPによるサプライチェーン攻撃概要：Trivy侵害からイラン狙うワイパーKamikaze、LiteLLMの侵害まで

佐々山 Tacos

2026.03.25

TeamPCPによるサプライチェーン攻撃の概要：Trivy侵害からイラン狙うワイパーKamikaze、LiteLLMの侵害まで

ArsTechnica – March 24, 2026

脆弱性スキャナーTrivyの侵害に端を発するサプライチェーンキャンペーンはDockerやGitHubリポジトリ、LiteLLMへ拡大している上、イランのマシンを新たなワイパー「Kamikaze」で狙うようになっているという。

Trivyの侵害から始まったサプライチェーン攻撃

「TeamPCP」と名乗る脅威グループによるものとされるこのキャンペーンは、3月19日に始まり、攻撃者はAqua Security社製の人気脆弱性スキャナー「Trivy」のほぼすべてのバージョンを侵害し、Trivyの公式リリースとGitHub Actionsを通じて認証情報窃取マルウェア（インフォスティーラー）を配布し始めたとされる。攻撃者は、盗んだ認証情報を使用して、「trivy-action」タグのうち1つを除くすべて（75件）と「setup-trivy」タグ7つに対し、悪意のある依存関係を強制的にプッシュ。これにより、影響を受けたタグを使用する外部ワークフローは、正当なTrivyスキャンを実行する前に自動的に悪意のあるコードを実行することになっていた。

この悪意あるバイナリが実行されると、正規のTrivyサービスと悪意あるコードが同時並行で開始される。そして悪意あるコード（「TeamPCP Cloud」スティーラー）は、偵察データを集めるとともに、認証情報や認証用シークレットを求めてシステムのスキャンを行う。

大規模な侵害自体は3月19日に開始したものの、Socketによれば、元々の原因は2026年2月にAqua Trivy VS Code拡張機能が侵害されたこと。このインシデントで攻撃者は、Trivy GitHubアカウントへの書き込みアクセス権を持つ認証情報を入手。メンテナらは緩和のためトークンやその他のシークレットを変更したものの、APIキーや証明書、パスワードといった認証情報のアーティファクトが完全には取り除かれていなかったことから、攻撃者はタグの強制アップデートなどの操作を行うことができたという。

CanisterWorm

その後、Aikido社は3月20日、NPM上で多数のパッケージがこれまでに確認されたことのない新たなワームによって侵害されていることを検知。この攻撃は「Trivyに対する攻撃の直接的な結果」であると伝えた。同社はC2のデッドドロップにICPキャニスターが利用される点にちなみ、このワームを「CanisterWorm」と名付けている。

当初TeamPCPは、侵害されたnpmトークンでアクセス可能だったあらゆるパッケージへとこのワームを手動で拡散させていたものの、3月21〜22日の週末にかけてプッシュされた新たなバージョンでこの要件を撤廃。手作業を必要とせず、自動的に新たなマシンへと感染を広げる自己伝播性能を同ワームに加えることに成功したという。同ワームはマシンに感染すると、自動的にnpmリポジトリへのアクセストークンを探し、悪意のあるコードを仕込んだ新しいバージョンを作成することで、公開可能なパッケージをすべて侵害する。Aikidoは、同ワームが60秒足らずで28件のパッケージを標的にするのを観測している。

なお、Aikidoの研究者Charlie Eriksen氏がArsTechnica紙に伝えたところによれば、同ワームが利用していたICPキャニスターは22日夜にテイクダウンされ、現在は利用不可となっているという。

イランのマシンのみ狙うワイパー「Kamikaze」の追加

3月21〜22日の週末に行われたCanisterWormへのもう1つのアップデートが、「Kamikaze」というペイロードの追加。最新版のCanisterWormは、マシンに感染するとそのマシンがイランのタイムゾーンに入っているか、あるいはイラン国内で使用するための設定になっているかを確認する。

いずれかの条件が満たされてイランのマシンであると判断された場合、CanisterWormはスティーラーではなく、ワイパーKamikazeをトリガー。Kubernetesが存在する場合には、クラスター内の全ノードをワイプするDaemonSetをデプロイする。Kubernetesが存在しない場合は、「rm -rf / –no-preserve-root」を実行してシステムデータを含むマシン上のすべてのデータを削除するという。

イラン以外のシステムでKubernetesが存在する場合には、すべてのノードで永続性を確立するためにPythonバックドアをインストール。Kubernetesが存在しない場合、マルウェアは悪意ある活動を何も実行せずにシステムから去る。

現在米国と戦争中のイランがワイパーの標的になっている点は、これまで金銭の獲得を動機としていたTeamPCPの標的設定において興味深い選択となっている。これについてEriksen氏は、イランを狙うワイパーを使用し始めた動機はわかっていないとしつつも、「イデオロギー的要素も存在するかもしれない一方で、グループへの注目を集めるための故意の試行」の可能性もあるとコメントした。

LiteLLM PyPIへのバックドア展開

TeamPCPの攻撃はTrivyだけでなく、Aqua SecurityのDockerイメージ、Checkmarxの静的コード解析ツール「KICS」にも影響を広げ、さらにLiteLLMの侵害も新たに明らかになっている。

Endor Labsが3月24日に公開したブログ記事によれば、TeamPCPは同日、LiteLLMを侵害して悪意あるバージョン1.82.7および1.82.8をPyPIに公開したとされる。これらのバージョンはいずれも隠しペイロードを含んでおり、パッケージがインポートされるとこのペイロードが実行され、多様な認証情報やシークレットが盗み取られるという。

いずれのバージョンも現在ではPyPIから削除されており、1.82.6が最新のクリーン版となっている。ただ、BleepingComputerの情報筋によれば、LiteLLMの侵害に関連するデータ流出の件数は約50万件（重複あり）に上るとされる。VX-Undergroundも、同様の数の「感染デバイス」があると報告している。

LiteLLMの利用組織に対しては、悪意あるバージョンをインストールしていないか確かめることや、関連するあらゆるシークレット・トークン・認証情報を早急にローテーションすることなどの措置が推奨される。