Изследователи от SentinelLabs разкриха нов мащабен зловреден фреймуърк, наречен PCPJack, който атакува публично достъпни cloud среди, краде идентификационни данни и дори премахва следите и инструментите на друга известна група – TeamPCP.
Според анализа PCPJack е създаден основно за масова кражба на креденшъли, като откраднатите данни вероятно се използват за финансови измами, спам операции, препродажба на акаунти и потенциално изнудване.
Атакувани са Docker, Kubernetes, Redis и cloud среди
Зловредната платформа е насочена към широк набор от услуги и технологии, сред които:
- Docker
- Kubernetes
- Redis
- MongoDB
- RayML
- уязвими web приложения
- Linux cloud сървъри
В много случаи атакуващите извършват и странично придвижване (lateral movement) вътре в инфраструктурата след първоначалния пробив.
Възможна връзка с TeamPCP
Според SentinelLabs PCPJack показва сериозни прилики с предишни кампании на TeamPCP – група, известна с шумни supply-chain атаки срещу:
- Aqua Security и техния инструмент Trivy
- PyPI пакетите LiteLMM и Telnyx
- npm пакети, свързани със SAP
Изследователите смятат, че PCPJack може да е разработен от бивш член или афилиейт на TeamPCP, който е стартирал собствена операция след вътрешни промени в групата през 2026 г.
Malware, който първо „прочиства“ конкуренцията
Инфекцията започва чрез shell script с име bootstrap.sh, който:
- създава скрита работна директория;
- инсталира Python зависимости;
- изтегля допълнителни модули;
- активира persistence механизми;
- стартира основния orchestrator –
monitor.py.
Интересното е, че още в началната фаза PCPJack проверява дали на системата вече има инструменти на TeamPCP и започва агресивно „прочистване“.
Зловредният код премахва:
- процеси;
- услуги;
- Docker контейнери;
- файлове;
- persistence механизми;
- други артефакти, свързани с TeamPCP.
Това на практика представлява своеобразна „война“ между киберпрестъпни групи за контрол над компрометираните cloud среди.
Масова кражба на чувствителни данни
Основната цел на PCPJack е събирането на идентификационни данни и секрети от cloud и developer среди.
Сред търсените данни са:
- SSH ключове;
- Slack токени;
- WordPress конфигурации;
- OpenAI API ключове;
- Anthropic ключове;
- Discord токени;
- DigitalOcean идентификационни данни;
- достъп до финансови услуги;
- database креденшъли.
Откраднатата информация се криптира чрез X25519 ECDH и ChaCha20-Poly1305, след което се изпраща към Telegram канали на части от по 2800 байта, за да се избегнат ограниченията на платформата.
Използват се реални уязвимости
За разпространението си PCPJack активно сканира интернет за публично достъпни cloud услуги и експлоатира известни уязвимости, включително:
- CVE-2025-29927 – bypass на автентикация в Next.js middleware;
- CVE-2025-55182 – deserialization проблем в React и Next.js;
- CVE-2026-1357 – неавтентифициран upload на файлове;
- CVE-2025-9501 – PHP injection;
- CVE-2025-48703 – shell injection.
Освен това malware-ът използва hostname данни от Common Crawl parquet файлове, за да открива нови цели за сканиране и компрометиране.
Агресивно странично придвижване и persistence
След успешен пробив PCPJack:
- събира SSH ключове и креденшъли;
- изброява Kubernetes клъстери и Docker демони;
- копира себе си към вътрешни хостове;
- установява персистентност чрез:
- systemd услуги,
- cron jobs,
- Redis cron rewrites,
- привилегировани контейнери.
Изследователите са открили и Sliver-базиран backdoor върху инфраструктурата на атакуващите, включително версии за x86_64, x86 и ARM архитектури.
Cloud инфраструктурите остават основна цел
Случаят с PCPJack показва колко агресивно киберпрестъпните групи вече се насочват към cloud среди, DevOps инструменти и контейнеризирана инфраструктура.
Особено рискови остават:
- неправилно конфигурирани Docker и Kubernetes среди;
- публично достъпни management интерфейси;
- липса на MFA;
- съхраняване на API ключове и секрети в plaintext;
- прекомерни привилегии в cloud акаунти.
От SentinelLabs препоръчват организациите да прилагат MFA, least-privilege политики, защита на Docker/Kubernetes услугите и използване на IMDSv2 в AWS среди.
