СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 июня
#ИБ#Облака

TeamPCP использует GitHub Actions для атак на цепочку поставок

Группа TeamPCP стала заметным актором в ландшафте киберугроз, выстроив масштабную операционную модель вокруг атак на Цепочку поставок. По данным отчета, с сентября 2025 года злоумышленники используют неправильные конфигурации в GitHub Actions, чтобы перехватывать учетные данные разработчиков, распространять червя Shai-Hulud и затем превращать скомпрометированный доступ в инструмент массового заражения и вымогательства.

Как работает атака

Ключевой особенностью кампании является автоматизация. Вместо точечных компрометаций TeamPCP использует скомпрометированные токены и учетные записи как точки массового доступа, что позволяет быстро распространять вредоносный код по экосистемам программного обеспечения. В результате были отравлены более 170 пакетов в npm и PyPI, а также получен доступ к репозиториям GitHub, где могли находиться конфиденциальные данные.

Червь Shai-Hulud продемонстрировал высокую эффективность: он проник в тысячи пакетов в ходе трех волн атак, причем каждая последующая волна была масштабнее предыдущей. Изначально заражение началось через отравленный пакет от легитимного поставщика программного обеспечения, а затем атака адаптировалась к защитным мерам, внедренным после первых инцидентов.

Почему GitHub Actions стал удобной целью

Эксплуатация конкретного workflow в GitHub Actions позволила злоумышленникам извлекать personal access tokens разработчиков. После этого доступ использовался для автоматического распространения вредоносных пакетов и обхода механизмов обнаружения. Такой подход показывает, насколько опасной может быть одна ошибка в CI/CD-процессах: один скомпрометированный аккаунт способен привести к масштабным последствиям сразу в нескольких средах.

«Этот сложный подход демонстрирует сдвиг в динамике угроз, при котором один скомпрометированный аккаунт может привести к масштабным разрушениям в нескольких средах».

Бизнес-модель TeamPCP: доступ как товар

По отчету, операционная модель TeamPCP не ограничивается только распространением вредоносного ПО. Группа выстраивает партнерства с вымогательскими структурами, включая Vect и LAPSUS$, превращая похищенный доступ в каналы продажи данных и шантажа. Иными словами, TeamPCP совмещает функции initial access broker и оператора ransomware, монетизируя доступ через массовые операции, встроенные в форумы darknet.

При этом в отчете отмечаются и признаки операционных недостатков. Несмотря на амбициозный масштаб кампании, есть сообщения о нехватке подтвержденных данных жертв, связанных с их ransomware-сервисом. Это может указывать на то, что инфраструктура злоумышленников пока не всегда соответствует заявленному уровню угрозы.

Shai-Hulud породил волну подражателей

Публикация исходного кода червя Shai-Hulud привела к всплеску кампаний-подражателей. Это означает, что подобные методы могут быстро распространяться за пределы первоначальной группы, а значит, supply chain-атаки такого типа способны стать инструментом более широкого круга злоумышленников.

В частности, уже выявляются варианты вроде Miasma, которые используют те же базовые технологии, но расширяют контроль за счет lateral movement в различных cloud-средах. Такой тренд усиливает риск того, что атаки на Цепочку поставок будут сочетаться с дальнейшим закреплением в инфраструктуре жертв.

Что рекомендуют эксперты

Для снижения рисков специалисты по безопасности рекомендуют:

  • провести аудит рабочих процессов GitHub Actions на наличие потенциальных уязвимостей;
  • перенести процессы публикации пакетов на более безопасные методологии;
  • внедрить более строгие меры контроля в environments разработки;
  • ограничить и регулярно проверять использование токенов доступа;
  • усилить мониторинг цепочек сборки и публикации software packages.

Вывод

История TeamPCP и Shai-Hulud показывает, что атаки на supply chain продолжают эволюционировать быстрее защитных механизмов. Автоматизация, адаптация к defensive measures и конкуренция между злоумышленниками делают Цепочку поставок одной из самых уязвимых точек современной software security. В этих условиях защита CI/CD, контроль токенов и пересмотр процессов публикации становятся не рекомендацией, а необходимостью.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: