TeamPCP атакует цепочки поставок и крадет секреты DevOps
ФБР раскрыло масштабную кампанию TeamPCP: атаки на цепочки поставок угрожают ключевым инструментам разработки
Киберпреступная группа TeamPCP идентифицирована Федеральным бюро расследований как один из наиболее серьезных источников угроз для современных DevOps-сред. Злоумышленники специализируются на крупномасштабных компрометациях цепочек поставок программного обеспечения, превращая доверенные каналы распространения в оружие для проникновения в инфраструктуру жертв.
Основная цель группировки — получение несанкционированного доступа к средам разработки и эксплуатации через широко используемые инструменты безопасности и библиотеки. В руки атакующих попадает критически чувствительная информация: токены доступа к облачным сервисам, SSH-ключи и секреты Kubernetes. ФБР акцентирует внимание на тактиках, техниках и процедурах (TTPs) TeamPCP и призывает организации к немедленному усилению превентивных мер.
Кампания 2026 года: как внедрялись троянизированные обновления
В 2026 году TeamPCP реализовала серию успешных атак, проникнув в доверенные каналы распространения программного обеспечения. Злоумышленники действовали по отработанной модели:
- Внедрение вредоносного кода в легитимные пакеты и зависимости.
- Модификация компонентов так, чтобы троянизированные обновления внешне оставались безобидными.
- Скрытое развёртывание вредоносного ПО для кражи учётных данных и установки постоянных бэкдоров.
Этот подход обеспечивал устойчивый теневой доступ к средам разработчиков и интегрированным системам на протяжении длительного времени.
Мишени: инструменты CI/CD под ударом
Среди наиболее заметных целей оказались инструменты, ставшие неотъемлемой частью корпоративных конвейеров непрерывной интеграции и непрерывной доставки (CI/CD):
- Trivy — сканер уязвимостей контейнеров.
- KICS — инструмент анализа Infrastructure as Code.
- LiteLLM — прокси для унификации LLM-запросов.
- Python SDK Telnyx — клиентская библиотека телеком-сервиса.
Их компрометация позволила атакующим получить контроль над критическими звеньями циклов разработки и впоследствии манипулировать сборками и развёртываниями.
Шантаж и долгосрочные риски раскрытия данных
TeamPCP не ограничилась техническим проникновением. Группа активно применяла тактики шантажа: в сотрудничестве с другими киберпреступниками информация о жертвах публиковалась на сайтах утечек, а пострадавшим угрожали дальнейшим раскрытием украденных массивов. ФБР предупреждает, что эксфильтрованные данные могут быть использованы в качестве оружия связанными злоумышленниками спустя долгое время после обнаружения первоначальной компрометации.
Вредоносный арсенал: CanisterWorm, SANDCLOCK и червь Mini Shai-Hulud
В операциях TeamPCP задействован ряд специализированных инструментов, каждый из которых нацелен на конкретные типы учётных данных и сред:
- CanisterWorm — сбор токенов доступа к облачным сервисам, ключей API и аутентификационных материалов, ассоциированных с Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Azure.
- SANDCLOCK — извлечение учётных данных AWS, токенов Kubernetes ServiceAccount, локальных переменных среды и данных криптографических кошельков.
- Mini Shai-Hulud и его вариант Miasma — кросс-экосистемные черви цепочки поставок, самостоятельно распространяющиеся по реестрам с открытым исходным кодом, таким как npm и PyPI. Они атакуют учётные данные и манипулируют конфигурационными файлами для дальнейшего распространения.
Необходимые действия и обращение в ФБР
Организации, затронутые действиями TeamPCP, должны сохранять повышенную бдительность. Похищенные данные способны стать рычагом давления в будущем, поэтому важно не ограничиваться разовым реагированием. ФБР призывает сообщать о любых инцидентах несанкционированного доступа, предположительно связанных с этой группировкой. Своевременное информирование усилит общую осведомлённость и поможет выстроить эффективные стратегии защиты от быстро развивающейся угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



