СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#Dev#ИБ#Инфра

Атаки на GitHub Actions связали с ботнетом TeamPCP

В марте 2026 года команды кибербезопасности столкнулись с серией атак на Supply Chain, затронувших сразу несколько компаний в сфере application security. В центре инцидентов оказались poisoned GitHub Actions, через которые злоумышленники внедряли вредоносный код в CI/CD-конвейеры. Под ударом, в частности, оказались инструменты сканирования безопасности Xygeni, Trivy и Checkmarx.

Расследование этих инцидентов привело аналитиков к группе киберпреступников TeamPCP, которая, по данным наблюдений, активна с конца 2025 года. Параллельно выяснилось, что тот же злоумышленник, которого ранее отслеживали в связи с сетями residential proxies, построенными на базе скомпрометированных TP-Link IoT-устройств, может быть причастен и к атаке на Supply Chain Xygeni.

ShadowLink и совпадения в инфраструктуре

На скомпрометированных маршрутизаторах TP-Link исследователи обнаружили бэкдор ShadowLink, обеспечивавший конфигурацию Command and Control (C2). Примечательно, что структура этого канала и используемые секреты аутентификации зеркально совпадали с вредоносным кодом, внедренным в GitHub Actions компании Xygeni.

По оценке аналитиков, ShadowLink и кампания TeamPCP демонстрируют не только схожие технические приемы, но и общую модель построения инфраструктуры. Речь идет прежде всего о создании распределенных прокси-сетей, которые позволяют скрывать источник трафика и усложнять атрибуцию атак.

Эксплуатация TP-Link и размещение SOCKS5-прокси

Отдельное внимание привлек скрипт tplink_stager.sh, разработанный специально для эксплуатации уязвимости CVE-2024-21833 в маршрутизаторах TP-Link. После успешного использования этой уязвимости злоумышленник мог устанавливать SOCKS5-прокси с помощью инструмента microsocks.

  • маскировка процесса прокси под поток worker kernel;
  • закрепление на скомпрометированных маршрутизаторах через scheduled tasks;
  • использование init scripts для сохранения доступа после перезагрузки;
  • развертывание инфраструктуры для дальнейшего скрытого трафика.

Параллельно был обнаружен и аналогичный payload для маршрутизаторов ASUS. По данным расследования, он работал как инструмент разведки: сначала собирал сведения об устройстве, а уже затем использовался для полной развертки вредоносной нагрузки.

GitHub Actions как точка входа в CI/CD

Одна из наиболее показательных техник TeamPCP — tag poisoning в GitHub Actions. С помощью этой схемы атакующие перенаправляли доверенные release-ссылки на вредоносные коммиты, фактически подменяя ожидаемый источник обновлений и внедряя вредоносный код в процессы сборки и доставки.

Такой подход особенно опасен для компаний, использующих автоматизированные цепочки разработки: компрометация одного элемента может привести к заражению сразу нескольких систем и проектов, включая инструменты, отвечающие за безопасность программного обеспечения.

Рост активности и возможные цели

Данные свидетельствуют о том, что активность TeamPCP резко возросла в конце 2025 года. Группа эксплуатировала уязвимости на нескольких платформах и, судя по всему, успела сформировать масштабный botnet, ориентированный на широкий набор злонамеренных задач.

Среди вероятных целей называются:

  • кража учетных данных;
  • майнинг криптовалюты;
  • скрытое использование чужой инфраструктуры через сети прокси;
  • дальнейшее развитие атак на Supply Chain и CI/CD-среды.

Неясная связь между TeamPCP и ShadowLink

Хотя прямая связь между оператором ShadowLink и TeamPCP пока остается не до конца установленной, исследователи отмечают заметное совпадение по целям и методам. Оба актора активно используют прокси-сети и схожие технические приемы, что осложняет атрибуцию и может указывать либо на принадлежность ShadowLink к TeamPCP, либо на деятельность отдельного злоумышленника, работающего по аналогичной методологии.

«Совпадение во времени атак, применяемых техниках и профилях целей делает этот кейс особенно важным для понимания современных киберугроз», — следует из выводов анализа.

Почему это важно

Этот случай наглядно показывает, насколько тесно сегодня переплетаются Supply Chain-атаки, компрометация IoT-устройств и построение скрытой прокси-инфраструктуры. Для специалистов по кибербезопасности это означает необходимость учитывать не только классические векторы проникновения, но и взаимосвязи между различными кампаниями, которые на первый взгляд могут выглядеть как отдельные инциденты.

Понимание этих связей критически важно для будущих стратегий защиты, обнаружения угроз и оперативной атрибуции. В условиях, когда злоумышленники все чаще используют общие инфраструктурные элементы и повторяющиеся техники, своевременное выявление таких паттернов становится ключевым фактором устойчивости организаций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: