TeamPCPの供給網攻撃がここまで来た:GitHub、Microsoft、npmをまたいだ“連鎖感染”の全体像
TeamPCP と呼ばれる攻撃グループが、ソフトウェア供給網攻撃(開発者が使う正規の配布経路を悪用する攻撃)を複数のエコシステムで同時進行させた。 2026年5月の1週間で、GitHubの内部リポジトリ侵害、Microsoft公式Python SDKの改ざん、npmエコシステムへの大量混入が立て続けに起きた。 特に厄介なのは、verified-publisher badge や Sigstore verification badge のような「見た目の信頼材料」が、今回あまり当てにならなかったこと。 攻撃は単なる情報窃取にとどまらず、worm(自己増殖型) や wiper(消去型) の要素まで含み、破壊性が一段上がっている。 防御側は、install時の見た目を信用しすぎず、lockfileのハッシュ確認 や 実際の振る舞い監視 に寄せる必要がある。 SANS Internet Storm Center の記事は、2026年5月24日時点での TeamPCP 系キャンペーンを総まとめしたもの
papoo.work