TeamPCP Supply Chain Campaign: Update 003 - Operational Tempo Shift as Campaign Enters Monetization Phase With No New Compromises in 48 Hours ⭐
Severity: 90/100
TeamPCPとされる供給網攻撃キャンペーンは、Vectランサムウェア提携とともに収益化段階へ移行し、3月27日のTelnyx公表以降48時間は新たな改ざんが確認されなかった。対象はPyPIやnpmを含むCI/CDパイプラインとパッケージ生態系で、これまでにTrivy、CanisterWorm、Checkmarx、LiteLLM、Telnyxが標的になり、合計1億件超のダウンロードに波及した。TTPとして、Runner.Workerのメモリ読み取り、/proc//memからの秘密情報収集、tpcp.tar.gz作成、30日以内に登録されたドメインへのHTTPS送信、GitHub Releases APIを用いたデータ流出、Kubernetesの特権DaemonSetによるwiper展開が挙げられる。Palo Alto Networksの振る舞い検知、CSAの監査ログとAdmission Controller対策、認証情報のローテーション、IOCスイープ、CVE-2026-33634の期限内修正が推奨されている。
New Infinity Stealer malware grabs macOS data via ClickFix lures ⭐
Severity: 78/100
Malwarebytesは、Infinity Stealerと呼ばれる情報窃取型マルウェアがmacOSを狙っていると報告した。攻撃はClickFix手法を用い、update-check[.]com上でCloudflareの人間確認を装う偽CAPTCHAを表示し、被害者にBase64難読化されたcurlコマンドをTerminalへ貼り付けさせる。コマンドはBashスクリプトを展開し、/tmpにstage-2を配置してクォランティン属性を削除し、nohupで実行する。NuitkaでコンパイルされたPythonペイロードは、8.6MBのMach-Oローダーと35MBのzstd圧縮アーカイブを経て、stage-3のUpdateHelper.binとして動作し、サンドボックスや仮想環境の検査も行う。盗取対象はChromium系ブラウザとFirefoxの認証情報、macOS Keychain、暗号資産ウォレット、.envなどの平文シークレット、さらにスクリーンショットで、データはHTTP POSTでC2へ送信され、完了後にTelegram通知も送られる。
File read flaw in Smart Slider plugin impacts 500K WordPress sites
Severity: 68/100
研究者Dmitrii Ignatyevが報告したCVE-2026-3098は、WordPressプラグインSmart Slider 3のAJAX export機能における権限チェック不足を突く脆弱性で、subscriber権限を含む認証済みユーザーが任意ファイルを読み取れます。特にactionExportAllにファイル種別と送信元の検証がなく、wp-config.phpなどの機密ファイルからデータベース認証情報や鍵、saltを取得され、サイト乗っ取りや情報窃取につながります。影響範囲は3.5.1.33以前の全版で、約80万サイトで利用され、少なくとも50万サイトが脆弱とされています。WordfenceがPoCを検証し、開発元Nextendwebは3.5.1.34で修正しました。現時点で悪用確認はないものの、迅速な更新が求められます。