Blast Radius of TeamPCP Attacks Expands Amid Hacker Infighting ⭐
Severity: 92/100
TeamPCPとされる攻撃者群によるサプライチェーン攻撃の影響が拡大し、ShinyHuntersやLapsus$も侵害データの公開や脅迫面で関与しているとみられるが、連携の実態は不明とされる。攻撃は侵害されたオープンソース・パッケージを介して進み、TrivyやLiteLLM、Telnyx PyPI関連の事案で、盗まれた認証情報とシークレットを使いAWS、Azure、SaaS環境へ侵入した。WizとCERT-EUは、Trufflehogで追加のAWS資格情報を探索し、環境調査後にS3バケットやECSなどからデータを持ち出した事例を示した。対処として、露出したシークレットの即時失効とローテーション、トークン無効化、クラウド資格情報の再発行、CI/CDランナーやGitHub Actions、パッケージ公開フローの確認、クラウドとSaaSでの不審活動の追跡が挙げられている。
Axois NPM Supply Chain Incident
Severity: 94/100
Cisco Talosは、Axios公式npmパッケージが2026年3月31日に受けたサプライチェーン攻撃を調査中で、悪意あるv1.14.1とv0.30.4が約3時間公開されました。攻撃者は正規パッケージに偽のランタイム依存関係plain-crypto-jsを追加し、post-installで自動実行させてOS情報を送信、142.11.206.73の制御下からmacOS、Windows、Linux向けのペイロードを配布しました。macOSではcom.apple.act.mond、Windowsではwt.exeに偽装したPowerShell経由のps1、LinuxではPythonバックドアが用いられ、RATとして情報収集と追加ペイロード実行が可能でした。Talosは、影響端末をv1.14.0またはv0.30.3へロールバックし、Sfrclak.comや関連SHA256を含むIOCを確認したうえで、漏えいした認証情報を速やかにローテーションするよう推奨しています。
Die Linke German political party confirms data stolen by Qilin ransomware
Severity: 82/100
Qilinランサムウェアグループが、ドイツの左派政党Die Linkeのネットワークを侵害し、データを窃取して漏えいすると脅している。党は3月27日にサイバーインシデントを公表していたが、今回の報道で内部領域の機微情報と党本部職員の個人情報が狙われたことを認めた。一方、党員データベースへの影響はなく、党員データの取得にも失敗したと説明している。4月1日、Qilinは被害組織としてDie Linkeをリークサイトに掲載したが、データサンプルは公開していない。党は当局への通報と警察への刑事告訴を行い、独立系IT専門家と連携して影響を受けたシステムの安全な復旧を進めている。