B
今週中
UNC6780(TeamPCP)によるサプライチェーン攻撃が再開され、Checkmarx KICS、Bitwarden CLI、xinference…
📌 一言でいうと
UNC6780(TeamPCP)によるサプライチェーン攻撃が再開され、Checkmarx KICS、Bitwarden CLI、xinference PyPIの3つのプロジェクトで同時に侵害が確認されました。また、npmエコシステムにおいて「CanisterSprawl」と呼ばれるワームが特定されています。攻撃者はSANDCLOCKという資格情報窃取ツールを使用しており、広範囲なサプライチェーンへの影響が懸念されます。
🏢影響範囲
ソフトウェア開発者、DevOpsエンジニア、およびCheckmarx KICS, Bitwarden CLI, xinference, npmパッケージを利用する組織
✅該当時の対応
利用しているパッケージ(PyPI, npm)の依存関係を監査し、不審なバージョンへの更新がないか確認すること。特権アカウントのパスワード変更と多要素認証(MFA)の強制適用を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】UNC6780によるサプライチェーン攻撃(Checkmarx, Bitwarden, PyPI, npm)への対応について
お疲れさまです。UNC6780(TeamPCP)による広範なサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃グループUNC6780が、Checkmarx KICS、Bitwarden CLI、xinference (PyPI) の3つのプロジェクトを同時に侵害したことが判明しました。また、npmにおいて「CanisterSprawl」というワームが検出されており、SANDCLOCKという資格情報窃取ツールを用いて攻撃を拡大させています。
■ 影響範囲
- Checkmarx KICS
- Bitwarden CLI
- xinference (PyPIパッケージ)
- npmエコシステム(CanisterSprawlワームの影響を受けるパッケージ)
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおける依存ライブラリのバージョンを確認し、不審な更新がないか監査してください。
2. 侵害された可能性のあるツール(Bitwarden CLI等)を利用しているアカウントの資格情報をリセットし、MFAを再設定してください。
3. CVE-2026-33634のパッチ適用状況を再確認してください。
■ 参考情報
- Google GTIG (UNC6780/SANDCLOCK)
- CISA KEV (CVE-2026-33634)
対応優先度: 高
対応期限: 至急
お疲れさまです。UNC6780(TeamPCP)による広範なサプライチェーン攻撃に関する情報共有です。
■ 概要
攻撃グループUNC6780が、Checkmarx KICS、Bitwarden CLI、xinference (PyPI) の3つのプロジェクトを同時に侵害したことが判明しました。また、npmにおいて「CanisterSprawl」というワームが検出されており、SANDCLOCKという資格情報窃取ツールを用いて攻撃を拡大させています。
■ 影響範囲
- Checkmarx KICS
- Bitwarden CLI
- xinference (PyPIパッケージ)
- npmエコシステム(CanisterSprawlワームの影響を受けるパッケージ)
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおける依存ライブラリのバージョンを確認し、不審な更新がないか監査してください。
2. 侵害された可能性のあるツール(Bitwarden CLI等)を利用しているアカウントの資格情報をリセットし、MFAを再設定してください。
3. CVE-2026-33634のパッチ適用状況を再確認してください。
■ 参考情報
- Google GTIG (UNC6780/SANDCLOCK)
- CISA KEV (CVE-2026-33634)
対応優先度: 高
対応期限: 至急
Subject: [Alert] Supply Chain Compromises by UNC6780 (Checkmarx, Bitwarden, PyPI, npm)
Dear Security Team,
This is a technical alert regarding the resumed activity of threat actor UNC6780 (TeamPCP).
■ Overview
UNC6780 has executed concurrent compromises across Checkmarx KICS, Bitwarden CLI, and xinference (PyPI). Furthermore, a new npm worm identified as 'CanisterSprawl' has been detected. The actors are utilizing the 'SANDCLOCK' credential stealer to facilitate further access and monetization.
■ Scope of Impact
- Checkmarx KICS
- Bitwarden CLI
- xinference (PyPI packages)
- npm ecosystem (packages affected by CanisterSprawl)
■ Mitigation Steps
1. Audit all dependency trees in development and CI/CD pipelines for unauthorized or suspicious version bumps.
2. Rotate credentials and enforce MFA for all accounts utilizing the compromised tools (e.g., Bitwarden CLI).
3. Verify the remediation status of CVE-2026-33634 across the infrastructure.
■ Reference
- Google GTIG (UNC6780/SANDCLOCK)
- CISA KEV (CVE-2026-33634)
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical alert regarding the resumed activity of threat actor UNC6780 (TeamPCP).
■ Overview
UNC6780 has executed concurrent compromises across Checkmarx KICS, Bitwarden CLI, and xinference (PyPI). Furthermore, a new npm worm identified as 'CanisterSprawl' has been detected. The actors are utilizing the 'SANDCLOCK' credential stealer to facilitate further access and monetization.
■ Scope of Impact
- Checkmarx KICS
- Bitwarden CLI
- xinference (PyPI packages)
- npm ecosystem (packages affected by CanisterSprawl)
■ Mitigation Steps
1. Audit all dependency trees in development and CI/CD pipelines for unauthorized or suspicious version bumps.
2. Rotate credentials and enforce MFA for all accounts utilizing the compromised tools (e.g., Bitwarden CLI).
3. Verify the remediation status of CVE-2026-33634 across the infrastructure.
■ Reference
- Google GTIG (UNC6780/SANDCLOCK)
- CISA KEV (CVE-2026-33634)
Priority: High
Deadline: Immediate