Daily Threat Intel - 2026-04-05 ⭐
Severity: 94/100
Cisco Talosは公式Axios npmパッケージのサプライチェーン侵害を調査しており、v1.14.1とv0.30.4の不正版が約3時間公開され、偽依存plain-crypto-jsがpost-installで実行されてOS情報を142.11.206.73へ送信し、LinuxではPythonバックドア、Windowsではwt.exe経由のps1、macOSではcom.apple.act.mondを取得したと報告した。別報告では、3月の供給網攻撃が北朝鮮系脅威アクターやTeamPCPに関連付けられ、AWS、GCP、Azureトークン、SSH鍵、Kubernetes認証情報の窃取やcheckmarx[.]zone、models[.]litellm[.]cloudが示された。Push SecurityはMicrosoft Entra/M365を狙うdevice code phishingの37.5倍増を観測し、Appleは公開漏えいしたDarkSwordをiOS 18向けに修正した。対策として、ロールバック、シークレット失効・更新、MFA、CI/CD権限管理、device codeフローの無効化と監視が挙げられた。
Do not get high(jacked) off your own supply (chain) ⭐
Severity: 92/100
TeamPCPという“chaos-as-a-service”型グループが、乗っ取ったGitHubリポジトリに悪性コードを注入し、Trivyを含むオープンソースプロジェクトへ波及したほか、Axiosの改変も確認された。Axiosは週1億回のダウンロードがあり、影響は広範で、こうした供給網攻撃は下流の多数組織に連鎖的被害を与えうる。Talosの2025年分析でも、上位100件の標的脆弱性の約25%が広く使われるフレームワークやライブラリに関係し、React Server ComponentsのReact2ShellやLog4jの事例が示すように、攻撃は迅速に大規模化する。対策として、CI/CDパイプラインの保護、ソフトウェア資産の棚卸し、迅速なパッチ適用と緩和策、セグメンテーション、堅牢なログ、MFA、緊急対応計画が挙げられている。
Supply Chain Attacks Surge in March 2026 | ThreatLabz ⭐
Severity: 92/100
Zscaler ThreatLabzは、2026年3月にソフトウェア供給網攻撃が急増したと報告し、AxiosのNPM侵害は北朝鮮系脅威アクターに帰属すると述べている。AxiosはメンテナのNPMアカウント乗っ取りでGitHub ActionsのCI/CDを回避され、悪性依存plain-crypto-jsとpostinstallによりmacOS、Windows、Linux向けのクロスプラットフォームRATを展開し、C2としてsfrclak[.]comと142.11.206[.]73が使われた。影響版は1.14.1と0.30.4。TeamPCPはPyPIのLiteLLM 1.82.7/1.82.8を改ざんし、.pthファイルやproxy_server.py経由でAWS、GCP、Azureトークン、SSH鍵、Kubernetes認証情報の収集を狙い、checkmarx[.]zoneとmodels[.]litellm[.]cloudを用いた。推奨事項として、秘密情報の失効とローテーション、lockfile検査、1.82.6への更新、MFA強制、公開後の異常なpublish監視、影響端末の隔離・再イメージングが挙げられている。
Axios npm hack used fake Teams error fix to hijack maintainer account ⭐
Severity: 92/100
Google Threat Intelligence Groupは、このnpm供給網攻撃を金銭目的の北朝鮮系脅威アクターUNC1069に帰属付けた。攻撃者はAxiosの主要メンテナに対し、正規企業を装ったSlack招待とMicrosoft Teams会議を使う標的型ソーシャルエンジニアリングを実施し、偽の更新/エラー修正を装ってRATを実行させ、npm認証情報を窃取した。侵害されたアカウントから、依存関係plain-crypto-jsを含む悪意あるAxios 1.14.1と0.30.4が公開され、macOS、Windows、Linux向けにリモートアクセス機能を展開した。影響範囲は広く、Node.jsエコシステム全体と高頻度利用パッケージの保守者に及んだ。GTIGはWAVESHAPER.V2とインフラの重複を指摘し、攻撃はClickFix類似の手口だとした。記事は、感染システムのコンプロマイズ前提化、全認証情報と認証キーのローテーション、影響端末のワイプと資格情報リセットを求めている。
Blast Radius of TeamPCP Attacks Expands Amid Hacker Infighting ⭐
Severity: 90/100
TeamPCPによる供給網攻撃が拡大し、ShinyHuntersとLapsus$が流出データの公開や脅迫層に関与しているとみられる。攻撃者は改ざんされたTrivyやLiteLLMなどの配布物を悪用して認証情報とシークレットを窃取し、TrufflehogでAWS資格情報を探索・検証した後、AWS、Azure、SaaS、S3、ECSへ横展開してデータを持ち出した。Mercorと欧州委員会の事案が言及され、欧州委員会ではAWS APIキー窃取を起点にクラウド侵害へ進展した。対策として、露出したシークレットの即時失効とローテーション、トークン無効化、クラウド資格情報の再発行、CI/CDランナー、GitHub Actions、パッケージ公開ワークフローの点検が挙げられている。
Apple Breaks Precedent, Patches DarkSword for iOS 18 ⭐
Severity: 86/100
DarkSwordは、公開後にGitHubへ流出したiOS向けのエクスプロイトチェーンで、記事ではTA446によるAtlantic Councilをかたるメールフィッシングや、帰属不明の犯罪キャンペーン、検証目的とみられる利用が確認されたと述べている。対象はiOS 18利用者と、旧版のため更新できない端末を含むAppleデバイスで、iOS 26への移行を選ばない企業利用者にも影響した。手口としては、端末をroot化せずにプロセス権限を継承して高権限へ到達し、検知が難しい点が指摘されている。Appleは4月1日にiOS 18向けへも修正をバックポートし、3月24日にはiOS 26未対応端末向けの修正も配布したほか、脆弱デバイスへの通知やWebベース攻撃に関する脅威情報を公開した。
Six Accounts, One Actor: Inside the prt-scan Supply Chain Campaign ⭐
Severity: 86/100
Wiz Researchは、6つのGitHubアカウントを使い分けた同一の攻撃者による「prt-scan」キャンペーンを追跡した。攻撃はGitHub Actionsのpull_request_target誤設定を悪用し、prt-scan-{12桁hex}のブランチ、“ci: update build configuration"というPR題名、python-requests/2.32.5のUser-Agentを用いて、Python、Node.js、Rustなどのリポジトリへ悪性ペイロードを投入した。対象は著名組織から趣味案件まで幅広く、500件超のPRのうち成功率は10%未満だったが、少なくとも2件のnpmパッケージ侵害とAWS、Cloudflare、Netlifyの認証情報流出が確認された。Wizは組織内のIOC確認、初回コントリビュータ承認、実行主体制限、パス条件付きトリガーなどのハードニングを挙げた。
Device code phishing attacks surge 37x as new kits spread online ⭐
Severity: 82/100
Push Securityの観測によると、OAuth 2.0 Device Authorization Grantを悪用するdevice code phishingが2026年に37.5倍へ急増し、EvilTokensが最も目立つPhaaSとして拡散しています。記事は、当初は国家支援型と金銭目的の双方で使われていた手口が、現在は低技能のサイバー犯罪者にも広く普及したと述べています。少なくとも11種のキットが確認され、Microsoft 365、SharePoint、Teams、Adobe、DocuSign、Citrix ShareFileなどを装ったSaaS風の誘導、anti-bot保護、Cloudflareやworkers.dev、GitHub Pages、DigitalOcean、AWS S3、PowerApps、Tencent Cloudなどのクラウド基盤利用、動的APIエンドポイントが特徴です。対策として、不要ならconditional accessでdevice code flowを無効化し、想定外のdevice code認証、異常なIP、セッションを監視するよう推奨しています。
LinkedIn secretly scans for 6,000+ Chrome extensions, collects data ⭐
Severity: 32/100
Fairlinked e.V. の BrowserGate 報告は、Microsoft の LinkedIn が訪問者のブラウザに隠し JavaScript を注入し、インストール済み拡張機能と端末情報を収集していると指摘した。BleepingComputer の検証でも、ランダム名のスクリプトが読み込まれ、Chrome/Chromium 向け 6,236 件の拡張機能を判定していたことが確認された。手法は、特定の拡張 ID に対応する静的リソースの存在確認による拡張機能検出で、収集項目には CPU コア数、メモリ、画面解像度、タイムゾーン、言語設定、バッテリー、音声情報、ストレージ機能が含まれる。LinkedIn は、これはスクレイピングや利用規約違反の拡張機能を見つけ、技術的防御を改善し、過剰なデータ取得によるサイト安定性への影響を把握するためだと説明し、機微な個人情報の推測には使わないとしている。
LinkedIn secretly scans for 6,000+ Chrome extensions, collects data ⭐
Severity: 28/100
Fairlinked e.V.は、Microsoft傘下のLinkedInがWebサイト上の隠しJavaScriptを使い、訪問者のブラウザに導入済みの拡張機能と端末情報を収集しているとする「BrowserGate」報告を公表した。BleepingComputerの検証でも、LinkedInのサイトがランダム名のJavaScriptを読み込み、特定の拡張IDに関連する静的リソースの有無を調べる手法で6,236件のChrome拡張を検出していた。収集対象にはCPUコア数、メモリ、画面解像度、タイムゾーン、言語設定、バッテリー状態、音声情報、ストレージ機能が含まれる。報告側は、LinkedInがこれを競合製品の利用把握や第三者ツール利用者の特定に使っていると主張したが、LinkedInは、スクレイピングや利用規約違反の拡張機能を検出し、防御強化と安定性確保に用いており、機微情報の推定には使わないと説明している。
Inconsistent Privacy Labels Don’t Tell Users What They Are Getting ⭐
Severity: 2/100
本記事は、モバイルアプリのプライバシーラベル自体は有用な発想だが、現行の実装は利用者保護として不十分だとする専門家の見解を伝える。CMUのLorrie Cranor氏は、AppleとGoogleがそれぞれ異なる基準でデータ収集を定義しており、ラベルの有用性が損なわれていると指摘した。Cranor氏らの研究では、ラベルには多数の不正確さが見つかったが、意図的な欺瞞というより開発者の誤解やミスが原因だったという。Kelly Peterson氏も、企業は実質的な改善よりコンプライアンス対応に重きを置きがちだと批判した。対策として、ラベルの標準化、アプリストアでの表示強化、開発者向け作成支援ツール、ストア側による真正性検証、簡略化したプライバシーポリシーやトラストセンターの提示が挙げられている。
Hackers exploit React2Shell in automated credential theft campaign
Severity: 95/100
Cisco Talosは、UAT-10608として追跡する脅威クラスターが、Next.jsアプリのReact2Shell脆弱性CVE-2025-55182を悪用し、認証情報を自動収集する大規模活動を行っていると報告した。攻撃者は脆弱なNext.jsアプリを自動スキャンして侵害し、標準の一時ディレクトリに配置したスクリプトで環境変数、APIキー、データベース資格情報、GitHub/GitLabトークン、SSH鍵、AWS/GCP/Azureのクラウド資格情報、Kubernetesトークン、Docker情報、コマンド履歴などを抽出した。少なくとも766ホストが、複数のクラウド事業者と地域にまたがって24時間以内に侵害された。データはポート8080のHTTPでNEXUS ListenerのC2へ断片送信され、収集結果は検索や統計付きで可視化される。推奨対策として、React2Shellの更新適用、サーバ側のデータ露出監査、侵害疑い時の全資格情報ローテーション、AWS IMDSv2の強制、再利用SSH鍵の交換、secret scanning、Next.js向けWAF/RASP、最小権限の徹底が挙げられた。
「axios」にマルウェア混入、npmサプライチェーン攻撃 開発環境が侵害の恐れ
Severity: 92/100
攻撃者は入手したaxiosメンテナーの認証情報を悪用し、npmで配布されるaxios@1.14.1とaxios@0.30.4を改ざんしたと報じられている。依存関係としてplain-crypto-js@4.2.1が挿入され、マルウェアドロッパーとして機能し、RATを展開して攻撃者に追加の侵入基盤を与える。影響はWindows、macOS、Linuxに及び、axiosを直接導入した環境だけでなく、React、Vue、Angular、Electron、React Nativeなどaxiosを利用する広範なJavaScript関連プロジェクトや製品、主に開発者のビルド環境が対象となる。Malwarebytesは、感染後に痕跡が消去されるため、StepSecurityが公開するIoCを用いて侵害有無を評価するよう求めている。侵害の可能性がある場合は、環境内のパスワード、署名鍵、APIキーなどのシークレットをすべて更新することが推奨されている。
Hims & Hers warns of data breach after Zendesk support ticket breach
Severity: 88/100
ShinyHuntersとされる脅威グループが、Okta SSOアカウントを悪用して第三者のZendesk顧客サービス基盤へ侵入し、Hims & Hersのサポートチケットを窃取したと報じられている。侵害は2026年2月4日から2月7日にかけて発生し、同社は2月5日に第三者プラットフォームでの不審な活動を把握した。影響を受けたのはサポート窓口に送られた一部チケットで、氏名、連絡先、問い合わせ内容に関連するその他の未特定情報が含まれる可能性がある一方、医療記録や医師との通信は侵害されていない。BleepingComputerは、攻撃が数百万件のサポートチケット窃取を伴う広範なキャンペーンの一部だったと伝えている。同社は影響を受けた個人に12か月の無料クレジット監視を提供し、不審な連絡への警戒、口座明細と信用情報の確認を促している。
Die Linke German political party confirms data stolen by Qilin ransomware
Severity: 74/100
Qilinランサムウェアグループが、ドイツの民主社会主義政党Die Linkeのネットワークに侵入し、データを窃取したと同党が確認した。党は3月27日にサイバーインシデントを公表していたが、今回あらためて内部領域の機微情報と党本部職員の個人情報が流出対象になった可能性を認めた一方、党員データベースは影響を受けず、党員情報の取得にも失敗したとしている。Qilinは4月1日に被害を公開し、データ漏えいサイトへ被害者として掲載したが、サンプルは公開していない。党はドイツ当局へ通報し、刑事告訴を行い、独立したIT専門家とともに影響システムの安全な復旧を進めている。