TeamPCPは、オープンソースエコシステムとAIツールを標的としたソフトウェアサプライチェーン攻撃を連続して実行しているため、現在最も注目されているサイバー犯罪グループの1つになりつつあります。
このハッカーグループは、GitHubが最近のサイバー攻撃で内部データ漏洩を確認した後、多く言及されました。
GitHubによると、原因は、開発者がMicrosoftの一般的なソースコードプロセッサであるVSCodeに悪意のある拡張機能をインストールしたことにあります。
この事件により、約3,800の内部ストレージが侵害されましたが、GitHubは顧客データに影響はないと主張しています。
事件後、TeamPCPは、GitHubのソースコードと内部データを販売するために、サイバー犯罪フォーラムBreachForumsに投稿したとされています。このグループは、信憑性を証明するために購入者にデータサンプルを提供する用意があると発表しました。
サイバーセキュリティ専門家によると、TeamPCPは2025年末から台頭しました。当初、このグループはクラウドプラットフォーム上の誤った構成とNext.jsアプリケーション開発ツールの脆弱性を利用して、ボットネットを拡散し、ログイン情報を盗み、仮想通貨を不正にマイニングしていました。
懸念される点は、TeamPCPがソフトウェアサプライチェーン攻撃に焦点を当てていることです。これは、ハッカーが合法的なソフトウェアにマルウェアをインストールし、マルウェアを多数のユーザーや企業に拡散する形式です。
このグループの活動方法は通常、一般的なオープンソースツールの開発環境に侵入することから始まります。その後、ハッカーは秘密裏にマルウェアをソフトウェアに挿入します。プログラマーまたは企業がツールをダウンロードして使用すると、マルウェアは他のシステムに拡散し続けます。
このプロセスを通じて、TeamPCPはログイン情報、認証コード、および多くのソフトウェア開発プラットフォームへのアクセス権を盗むことができます。
専門家によると、ハッカー集団は、大規模な攻撃を自動化するために、「ミニ・シャイ・フルード」と呼ばれる自己複製型コンピュータワームも使用しています。
サイバーセキュリティ会社Socketによると、わずか数ヶ月で、TeamPCPは約20回のサプライチェーン攻撃キャンペーンを実施し、500以上の異なるソフトウェアにマルウェアをインストールしました。数百の企業が影響を受けたとされています。
GitHubだけでなく、多くの主要なテクノロジー組織もこのハッカーグループの標的となっています。TeamPCPは、OpenAI、Mercorデータプラットフォーム、Python PyPIソフトウェアストアのAI LiteLLMツールに関連する攻撃の背後にいる疑いがあります。
Checkmarx、TanStack、AI Mistralプラットフォームなどの他の企業や組織も、このハッカーグループのキャンペーンの影響を受けたことがあると考えられています。
専門家は、TeamPCPの主な動機は資金であると指摘しています。このグループは通常、ランサムウェアを展開したり、データを盗んだり、第三者に情報を販売したりします。
TeamPCPはまた、「ransomware-as-a-service」モデルに移行したとも言われています。つまり、他のサイバー犯罪グループにランサムウェアサービスを提供することです。
攻撃のリスクを軽減するために、専門家は、企業はアクセス権の管理、認証コードの厳格な管理、ログイントークンの頻繁な変更など、サイバーセキュリティを強化する必要があると推奨しています。
さらに、組織は、すぐに自動的に更新するのではなく、インストールする前にオープンソースソフトウェアのアップデートを注意深く確認する必要があります。
