# 供应链 IOC 数据库
最后更新:2026-03-31
## 活跃攻击活动
### TeamPCP 活动 (2026年3月19-31日) — 严重 (CRITICAL)
迄今为止记录的最严重的 CI/CD 供应链攻击。这是一场连锁凭据链攻击活动。
**时间线:**
- 3月19日:Trivy 被植入后门 (CVE-2026-33634, CVSS 9.4) — 75 个 trivy-action 标签 + 7 个 setup-trivy 标签被投毒
- 3月20日:CanisterWorm 在 141 个以上的 npm 软件包制品中部署 (66+ 个唯一软件包)
- 3月22日:检测到 WAV 隐写术变体;冒充 Checkmarx 品牌
- 3月23日:KICS GitHub Action (35 个标签) + ast-github-action 被入侵
- 3月24日:LiteLLM v1.82.7/v1.82.8 发布到 PyPI,包含凭据窃取程序
- 3月27日:Telnyx v4.87.1/v4.87.2 发布到 PyPI,包含 WAV 隐写术载荷
- 3月31日:
[email protected] 和
[email protected] 发布到 npm,包含 RAT 投放器
**归因:** TeamPCP (对 Trivy/LiteLLM/Telnyx/CanisterWorm 链具有高置信度)
---
## 受损软件包 — npm
| 软件包 | 恶意版本 | 安全版本 | 攻击类型 | 日期 |
|---------|-------------------|--------------|-------------|------|
| axios | 1.14.1, 0.30.4 | 1.14.0, 0.30.3 | 通过伪造依赖 plain-crypto-js 投放 RAT | 2026-03-31 |
| @emilgroup/* | 28 个软件包 (各种) | 之前版本 | CanisterWorm 后门 | 2026-03-20 |
| @opengov/* | 16+ 个软件包 | 之前版本 | CanisterWorm 后门 | 2026-03-20 |
| @teale.io/eslint-config | 1.8.11, 1.8.12 | 之前版本 | 自传播蠕虫 | 2026-03-20 |
| @airtm/uuid-base32 | 各种 | 之前版本 | CanisterWorm | 2026-03-20 |
| @pypestream/floating-ui-dom | 各种 | 之前版本 | CanisterWorm | 2026-03-20 |
| plain-crypto-js | 4.2.1 | N/A (完全移除) | RAT 投放器 | 2026-03-31 |
| n8n 社区节点 | 各种恶意版本 | N/A | OAuth/API 密钥窃取 | 2026-01 |
**历史记录(仍具相关性):**
| 软件包 | 版本 | 安全版本 | 攻击 | 日期 |
|---------|----------|------|--------|------|
| chalk | 受损版本 (2025年9月) | 验证哈希 | 凭据窃取 | 2025-09-08 |
| debug | 受损版本 (2025年9月) | 验证哈希 | 代码注入 | 2025-09-08 |
| @ctrl/tinycolor | 各种 | 验证 | Shai-Hulud 蠕虫 | 2025-09-11 |
| @asyncapi/specs | 各种 | 验证 | Shai-Hulud 蠕虫 | 2025-09-11 |
## 受损软件包 — PyPI
| 软件包 | 恶意版本 | 安全版本 | 攻击类型 | 日期 |
|---------|-------------------|--------------|-------------|------|
| litellm | 1.82.7, 1.82.8 | <=1.82.6 | 3 阶段凭据窃取 + K8s 横向移动 | 2026-03
粤公网安备44030002003366号