🔥 この記事の詳細
2026-05-13 更新
C
月内に

クラウドインフラを標的とする新しいLinuxワーム「PCPJack」

脆弱性🌐 英語ソース
📅 2026-05-13📰 xakep
📌 一言でいうと
クラウドインフラを標的とする新しいLinuxワーム「PCPJack」が発見されました。このワームはDocker、Kubernetes、Redis、MongoDBなどの環境から機密情報を窃取し、ネットワーク内を横展開します。特筆すべき点として、攻撃グループ「TeamPCP」のツールや痕跡をシステムから削除する機能を持っており、元メンバーによる攻撃の可能性が指摘されています。
🔍該当判定
  • DockerやKubernetesなどのコンテナ環境を自社で運用している
  • RedisやMongoDBなどのデータベースを外部からアクセス可能な状態で利用している
  • WordPressで構築したWebサイトを自社で管理・運用している
  • Linuxサーバー上でRayMLなどの機械学習基盤を動作させている
上記いずれにも該当しない → 静観でOK
該当時の対応
クラウド環境の認証情報の管理を徹底し、不審なプロセス(monitor.py等)やスクリプト(bootstrap.sh)の実行がないか監視してください。また、特権アカウントのパスワード変更と多要素認証の導入を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linuxワーム「PCPJack」によるクラウド環境への攻撃について

お疲れさまです。新種のLinuxワーム「PCPJack」に関する情報共有です。

■ 概要
クラウドインフラ(Docker, Kubernetes, Redis, MongoDB, RayML等)を標的とし、機密情報の窃取と横展開を行うワームです。特筆すべき点として、TeamPCPグループのツールを削除する挙動が確認されており、内部事情に精通した攻撃者によるものと推測されています。

■ 影響範囲
- Linuxベースのクラウドインフラ
- Docker / Kubernetes 環境
- Redis / MongoDB / RayML サーバー
- WordPress サイトおよび脆弱なWebアプリケーション

■ 対応手順
1. システム内で不審なシェルスクリプト(bootstrap.sh)やPythonスクリプト(monitor.py)の実行履歴を確認してください。
2. クラウド環境のシークレット(APIキー、パスワード等)の漏洩がないか点検し、必要に応じてローテーションを実施してください。
3. ネットワーク内での不審な横展開(Lateral Movement)の兆候を監視してください。

■ 参考情報
- SentinelLabs レポート

対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] New Linux Worm "PCPJack" Targeting Cloud Infrastructure

Dear Team,

We are sharing information regarding a new Linux worm identified as PCPJack.

■ Overview
PCPJack targets cloud infrastructure and developer environments (Docker, Kubernetes, Redis, MongoDB, RayML) to steal secrets and move laterally. A unique characteristic is its ability to identify and remove malware associated with the TeamPCP group, suggesting the actor may be a former member of that group.

■ Scope of Impact
- Linux-based cloud infrastructure
- Docker / Kubernetes environments
- Redis / MongoDB / RayML servers
- WordPress sites and vulnerable web applications

■ Recommended Actions
1. Audit systems for the execution of suspicious scripts such as 'bootstrap.sh' and 'monitor.py'.
2. Review cloud secrets (API keys, credentials) for potential compromise and rotate them if necessary.
3. Monitor for unusual lateral movement within the network.

■ Reference
- SentinelLabs Report

Priority: High
Deadline: Immediate review
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-13 のまとめ🔍 記事を検索