2026年3月19日、ハッカー集団「TeamPCP」がセキュリティスキャンツール「Trivy」のGitHub上のスキャナーおよび自動化タスクに認証情報を窃取するコードを埋め込んだ。
3月23日にはCheckmarxの自動化ツール「KICS」2つとコードエディタ用プラグイン2つがOpenVSXマーケットプレイスで一時的に汚染された。翌24日にはAIアプリケーション開発ツール「LiteLLM」のPyPI公式レジストリへ、バージョン1.82.7および1.82.8が不正公開された。マルウェアはAWS・Azure・GCPのクラウドアクセスキー、KubernetesトークンおよびSolana暗号資産ウォレットを標的とする。Wiz ResearchとCheckmarxがこの一連の攻撃を報告した。
From: 
TeamPCP Hits Trivy, Checkmarx, and LiteLLM in Credential Theft Campaign|Hackread
【編集部解説】
今回の事案を一言で表すなら、「セキュリティの盾そのものが武器に変えられた」攻撃です。TrivyはAqua Securityが開発するオープンソースの脆弱性スキャナーであり、コンテナやCI/CDパイプラインの安全を守るために世界中の開発チームが日常的に使っているツールです。そのツール自体が感染源となった事実は、現代のソフトウェア開発が抱える構造的な脆弱性を浮き彫りにしています。
この攻撃が技術的に特筆すべき点は、GitのタグというGit本来の設計仕様を逆手に取った手口にあります。Microsoftのセキュリティブログによると、TeamPCPはtrivy-actionの77タグのうち76タグ、setup-trivyの全7タグを書き換えることに成功しました。開発者がバージョンを指定してTrivyを呼び出すたびに、気づかないまま攻撃者のコードを実行していたことになります。脆弱性スキャンの結果は正常に表示されながら、その裏では認証情報が抜き取られていたのです。
この攻撃にはCVE-2026-33634という識別子が割り当てられ、CVSS4BスコアはKasperskyの報告によると9.4という最高水準に近い深刻度が付けられています。Arctic Wolfの報告では、少なくとも1,000以上の企業SaaS環境に影響が及んでいる可能性があると指摘されています。
LiteLLMが巻き込まれた経緯も重要です。LiteLLMはTrivyのコードスキャン機能を利用していたために感染の連鎖に引き込まれました。つまり、LiteLLMの開発チームは加害者ではなく被害者です。LiteLLMはAI開発者がOpenAIやAnthropicなど複数のLLMプロバイダーへアクセスするための統合ライブラリで、Wizの公式データによるとクラウド環境の36%に存在すると報告されています。AI開発の現場での普及度を考えると、感染の潜在的な波及範囲は特に大きいといえます。
見落とせないのが、この攻撃が「ワーム的な伝播」の性質を持っていた点です。Arctic Wolfの分析では、露出したSSHキー、不十分な設定のDockerやKubernetesのAPI、侵害されたnpmパッケージを経由して接続されたシステム全体に拡散する挙動が確認されています。CI/CDワークフロー内に持続的な感染機能が仕掛けられており、初期対応後も再感染のリスクが残る可能性があります。
Wizの研究者が言及した「LAPSUS$との類似性」も注目点のひとつです。LAPSUS$はMicrosoft、Samsung、Nvidiaなどを攻撃した高度な恐喝グループとして知られており、今回のキャンペーンがより大規模な組織的犯罪と連動している可能性が示唆されています。
長期的な視点で見れば、今回の事案はオープンソースの信頼モデルに根本的な問いを突きつけています。「信頼されているから使う」という前提が攻撃の踏み台になった以上、SHAハッシュによるバージョン固定や、CI/CDパイプラインのシークレット管理の見直しは、もはや「高度な対策」ではなく最低限の衛生管理として位置づけ直す必要があります。今回の事案を契機に、ソフトウェアサプライチェーン全体の監査と、依存関係の可視化に向けた業界・規制当局の動きが加速することが予想されます。
【用語解説】
TeamPCP
今回の攻撃を実行したハッカー集団の名称。自称であり、実態や所在地は不明。CI/CDパイプラインの認証情報を連鎖的に悪用するサプライチェーン攻撃を得意とするとみられる。
ソフトウェアサプライチェーン攻撃
開発者が利用するツールやライブラリ、自動化ワークフローそのものに悪意あるコードを仕込み、そのツールを使うすべての環境へ被害を連鎖させる攻撃手法。信頼されたソフトウェアを経由するため、ウイルス対策ソフトでは検知が困難なことが多い。
CI/CDパイプライン
「継続的インテグレーション(CI)」と「継続的デリバリー/デプロイメント(CD)」を組み合わせた、ソフトウェアのビルド・テスト・配布を自動化する仕組み。現代の開発現場では事実上の標準インフラであり、ここへの侵入は広範囲への影響を持つ。
CVE / CVSS
CVEは脆弱性を一意に識別するための国際的な番号体系(例:CVE-2026-33634)。CVSSはその深刻度を0〜10のスコアで評価する指標で、今回は最高水準に近いCVSS4B 9.4が付与された。
SHAハッシュによるバージョン固定
ソフトウェアの特定バージョンを、タグ名ではなくその内容から算出されるSHAハッシュ値で指定する手法。タグは書き換えられるが、ハッシュ値は内容が変わると変化するため、改ざんを検知できる。今回の攻撃で有効な対策として専門家が推奨している。
LAPSUS$
Microsoft、Samsung、Nvidiaなどを攻撃したことで知られる高度な恐喝・情報窃取グループ。Wizの研究者は今回のTeamPCPの手口に、このグループとの戦術的な類似性を指摘している。
KICS
Checkmarxが提供するオープンソースのインフラストラクチャ・アズ・コード(IaC)セキュリティスキャナー。今回はそのGitHub Actionsが侵害された。
【参考リンク】
Trivy(Aqua Security)(外部)
Aqua Security製オープンソース脆弱性スキャナー。コンテナやCI/CDのセキュリティ検査に広く使われ、今回の攻撃の起点となったツール。
Checkmarx(外部)
アプリケーションセキュリティテストを提供するイスラエル発の企業。KICS(IaCスキャナー)やVS Code向けプラグインなどを展開している。
LiteLLM(外部)
100以上のLLM APIをOpenAI形式で統一的に呼び出せるAIゲートウェイ。クラウド環境の36%に存在するAI開発者向けの標準ライブラリ。
PyPI(Python Package Index)(外部)
Pythonの公式パッケージ配布リポジトリ。攻撃者はここにLiteLLMの汚染バージョン1.82.7・1.82.8を不正公開した。
Wiz Research(外部)
クラウドセキュリティ専門企業Wizのリサーチ部門。今回の攻撃を最初期に検知・報告し、詳細な技術分析を公開したセキュリティ機関。
OpenVSX(外部)
VS Code互換拡張機能のオープンソースマーケットプレイス。今回、Checkmarxの汚染プラグインが一時的にここで公開された。
Kubernetes(外部)
コンテナの展開・管理を自動化するオープンソースのオーケストレーター。今回のマルウェアはKubernetesトークンを主要な標的としていた。
Solana(外部)
高速・低コストな取引を特徴とするブロックチェーンプラットフォーム。今回のマルウェアはSolanaの暗号資産ウォレット情報を窃取対象とした。
【参考記事】
Guidance for detecting, investigating, and defending against the Trivy supply chain compromise|Microsoft Security Blog(外部)
trivy-actionの76タグ・setup-trivyの全7タグ書き換えを技術解説。GitタグがCI/CD攻撃に悪用される仕組みとDefenderによる検知法を紹介。
TeamPCP Supply Chain Attack Campaign Targets Trivy, Checkmarx (KICS), and LiteLLM|Arctic Wolf(外部)
1,000以上の企業SaaS環境が影響を受けた可能性を報告。ワーム的伝播の挙動やCI/CDワークフロー内の持続感染メカニズムを分析している。
Trojanization of Trivy, Checkmarx, and LiteLLM solutions|Kaspersky Blog(外部)
CVE-2026-33634にCVSS4B 9.4の深刻度スコアを付与。攻撃の時系列と各ツールへの侵害詳細を整理し、連鎖リスクを指摘している。
Three’s a Crowd: TeamPCP trojanizes LiteLLM in Continuation of Campaign|Wiz Research Blog(外部)
LiteLLMがクラウド環境の36%に存在するデータを提示。バージョン1.82.7・1.82.8が.pthメカニズムで持続感染する仕組みを詳述。
LiteLLM infected with credential-stealing code via Trivy|The Register(外部)
LiteLLMがTrivy経由で感染連鎖に巻き込まれた経緯を報告。CI/CDパイプラインを通じたマルウェアの伝播メカニズムを解説している。
1K+ cloud environments infected via Trivy attack|The Register(外部)
1,000以上のクラウド環境への感染をRSAC 2026で報告。オープンソースエコシステムに及ぶ「スノーボール効果」のリスクに言及している。
【編集部後記】
セキュリティを守るためのツールが、攻撃の入り口になる——そんな皮肉な現実を、私たちも他人事として読み流せませんでした。あなたの開発環境には、今日も無数のオープンソースツールが静かに動いているはずです。
その一つひとつを、私たちはどこまで「信頼」できているでしょうか。ぜひ、一緒に考えてみませんか。
