TeamPCP再度發動供應鏈攻擊，Checkmarx的KICS掃描弱點掃描工具遭駭

雲端資安公司Wiz發現TeamPCP再度發動供應鏈攻擊，這次鎖定開源基礎架構掃描工具KICS的GitHub Actions，植入可竊取憑證的惡意程式碼，影響使用該工具進行CI/CD流程的開發人員。Wiz提出警告，於世界協調時間（UTC）3月23日中午12時58分至下午16時50分，任何被固定標記為遭駭狀態的使用者，都有可能感染惡意軟體。當時有GitHub用戶察覺此事並提出議題（Issue）通報，維護團隊獲報後，將儲存庫關閉作為因應之道。

KICS的全名是Keeping Infrastructure as Code Secure，該工具由資安公司Checkmarx開發，是用於掃描基礎設施即程式碼（Infrastructure as Code，IaC）弱點的開源工具，廣泛整合於GitHub Actions流程。

此次攻擊手法與先前針對Trivy的事件高度相似，駭客透過入侵GitHub Actions發布流程，將惡意程式注入已發布的KICS，使得機敏資料在使用者不知情的情況下遭到外洩。

惡意程式主要功能為竊取各類憑證，包括SSH金鑰、雲端存取憑證及CI/CD環境變數等，這些資訊可進一步被用於橫向移動或擴大入侵範圍，對企業雲端環境構成重大風險。

值得留意的是，這起事故駭客使用的惡意軟體又加入新的手法，首先，新版惡意軟體會在受害者的帳號建立新的儲存庫，目的是建立備用的C2回傳機制，再者，駭客新增以Kubernetes為核心的程式碼，以便在受害組織持續活動。

另一個與Trivy事故不同的地方，在於這次TeamPCP同時滲透了Checkmarx的Open VSX延伸套件，這些套件包括dev-assist 1.7.0與ast-result 2.53.0，有效酬載會檢查受害開發者CI環境，確認當中是否存放雲端供應商的憑證，再從C2擷取第二階段有效酬載，試圖運用JavaScript套件管理器執行並竊取憑證；若有效酬載並非在CI環境運作，則透過systemd使用者服務建立持續活動，並透過指令碼，每50分鐘拉取額外的酬載。