TeamPCP атакует цепочки поставок и крадет секреты DevOps

ФБР раскрыло масштабную кампанию TeamPCP: атаки на цепочки поставок угрожают ключевым инструментам разработки

Киберпреступная группа TeamPCP идентифицирована Федеральным бюро расследований как один из наиболее серьезных источников угроз для современных DevOps-сред. Злоумышленники специализируются на крупномасштабных компрометациях цепочек поставок программного обеспечения, превращая доверенные каналы распространения в оружие для проникновения в инфраструктуру жертв.

Основная цель группировки — получение несанкционированного доступа к средам разработки и эксплуатации через широко используемые инструменты безопасности и библиотеки. В руки атакующих попадает критически чувствительная информация: токены доступа к облачным сервисам, SSH-ключи и секреты Kubernetes. ФБР акцентирует внимание на тактиках, техниках и процедурах (TTPs) TeamPCP и призывает организации к немедленному усилению превентивных мер.

Кампания 2026 года: как внедрялись троянизированные обновления

В 2026 году TeamPCP реализовала серию успешных атак, проникнув в доверенные каналы распространения программного обеспечения. Злоумышленники действовали по отработанной модели:

  • Внедрение вредоносного кода в легитимные пакеты и зависимости.
  • Модификация компонентов так, чтобы троянизированные обновления внешне оставались безобидными.
  • Скрытое развёртывание вредоносного ПО для кражи учётных данных и установки постоянных бэкдоров.

Этот подход обеспечивал устойчивый теневой доступ к средам разработчиков и интегрированным системам на протяжении длительного времени.

Мишени: инструменты CI/CD под ударом

Среди наиболее заметных целей оказались инструменты, ставшие неотъемлемой частью корпоративных конвейеров непрерывной интеграции и непрерывной доставки (CI/CD):

  • Trivy — сканер уязвимостей контейнеров.
  • KICS — инструмент анализа Infrastructure as Code.
  • LiteLLM — прокси для унификации LLM-запросов.
  • Python SDK Telnyx — клиентская библиотека телеком-сервиса.

Их компрометация позволила атакующим получить контроль над критическими звеньями циклов разработки и впоследствии манипулировать сборками и развёртываниями.

Шантаж и долгосрочные риски раскрытия данных

TeamPCP не ограничилась техническим проникновением. Группа активно применяла тактики шантажа: в сотрудничестве с другими киберпреступниками информация о жертвах публиковалась на сайтах утечек, а пострадавшим угрожали дальнейшим раскрытием украденных массивов. ФБР предупреждает, что эксфильтрованные данные могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.

Вредоносный арсенал: CanisterWorm, SANDCLOCK и червь Mini Shai-Hulud

В операциях TeamPCP задействован ряд специализированных инструментов, каждый из которых нацелен на конкретные типы учётных данных и сред:

  • CanisterWorm — сбор токенов доступа к облачным сервисам, ключей API и аутентификационных материалов, ассоциированных с Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure.
  • SANDCLOCK — извлечение учётных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
  • Mini Shai-Hulud и его вариант Miasma — кросс-экосистемные черви цепочки поставок, самостоятельно распространяющиеся по реестрам с открытым исходным кодом, таким как npm и PyPI. Они атакуют учётные данные и манипулируют конфигурационными файлами для дальнейшего распространения.

Необходимые действия и обращение в ФБР

Организации, затронутые действиями TeamPCP, должны сохранять повышенную бдительность. Похищенные данные способны стать рычагом давления в будущем, поэтому важно не ограничиваться разовым реагированием. ФБР призывает сообщать о любых инцидентах несанкционированного доступа, предположительно связанных с этой группировкой. Своевременное информирование усилит общую осведомлённость и поможет выстроить эффективные стратегии защиты от быстро развивающейся угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: