- Автор темы
- #1
Новый Linux-червь PCPJack атакует облачную инфраструктуру, ворует учетные данные и одновременно «зачищает» системы от другой малвари — инструментов группировки TeamPCP. Исследователи SentinelLabs полагают, что за этой кампанией может стоять бывший участник TeamPCP, хорошо знакомый с внутренним устройством группы и ее инструментами.
Как пишут аналитики, PCPJack активен как минимум с конца апреля 2026 года и ориентирован на масштабный сбор секретов из облачных сред и инфраструктуры разработчиков. В списке целей — Docker, Kubernetes, Redis, MongoDB, RayML, сайты под управлением WordPress и уязвимые веб-приложения. После взлома вредонос пытается закрепиться в системе, перемещается по сети и заражает другие хосты.
Атака начинается с шелл-скрипта bootstrap.sh, который создает скрытую рабочую директорию, загружает дополнительные модули и запускает основной компонент — monitor.py. Также перед этим PCPJack проверяет систему на наличие следов TeamPCP и удаляет все связанное с группой: процессы, контейнеры, сервисы, файлы и механизмы закрепления.
Исследователи считают, что это не случайность. По их словам, цели и тактики PCPJack почти полностью совпадает с ранними кампаниями TeamPCP и PCPCat конца 2025 года — еще до того, как серия громких атак на цепочку поставок привлекла к группировке всеобщее внимание и, вероятно, привела к внутреннему расколу.
Основная задача PCPJack — кража учетных данных. Малварь собирает .env-файлы, SSH-ключи, токены Slack, конфигурации WordPress, данные Docker и Kubernetes, а также секреты для OpenAI, Anthropic, Discord, DigitalOcean, Gmail, GitHub, Office 365 и ряда других сервисов. Кроме того, вредонос интересуется криптокошельками и корпоративными базами данных.
Украденные данные шифруются с помощью X25519 ECDH и ChaCha20-Poly1305, после чего отправляются в Telegram небольшими фрагментами (ради соблюдения ограничений длины сообщений в мессенджере).
Для распространения PCPJack сканирует интернет в поисках открытых Docker-, Kubernetes-, Redis- и MongoDB-инстансов, а также загружает списки доменов из Common Crawl. Затем червь пытается эксплуатировать такие известные баги, как:
Во время расследования специалисты также нашли связанную с атакующими инфраструктуру на базе Sliver — популярного фреймворка для постэксплуатации. Аналитики отмечают, что оба набора инструментов выглядят хорошо проработанными и модульными, хотя операторы малвари допускают странные OPSEC-промахи. К примеру, они шифруют почти весь трафик, но оставляют без дополнительной защиты секреты для Telegram и собственную инфраструктуру.
По мнению исследователей, в дальнейшем украденные секреты могут использоваться для спам-кампаний, финансового мошенничества, перепродажи доступов и вымогательства.
Как пишут аналитики, PCPJack активен как минимум с конца апреля 2026 года и ориентирован на масштабный сбор секретов из облачных сред и инфраструктуры разработчиков. В списке целей — Docker, Kubernetes, Redis, MongoDB, RayML, сайты под управлением WordPress и уязвимые веб-приложения. После взлома вредонос пытается закрепиться в системе, перемещается по сети и заражает другие хосты.
Атака начинается с шелл-скрипта bootstrap.sh, который создает скрытую рабочую директорию, загружает дополнительные модули и запускает основной компонент — monitor.py. Также перед этим PCPJack проверяет систему на наличие следов TeamPCP и удаляет все связанное с группой: процессы, контейнеры, сервисы, файлы и механизмы закрепления.
Исследователи считают, что это не случайность. По их словам, цели и тактики PCPJack почти полностью совпадает с ранними кампаниями TeamPCP и PCPCat конца 2025 года — еще до того, как серия громких атак на цепочку поставок привлекла к группировке всеобщее внимание и, вероятно, привела к внутреннему расколу.
Основная задача PCPJack — кража учетных данных. Малварь собирает .env-файлы, SSH-ключи, токены Slack, конфигурации WordPress, данные Docker и Kubernetes, а также секреты для OpenAI, Anthropic, Discord, DigitalOcean, Gmail, GitHub, Office 365 и ряда других сервисов. Кроме того, вредонос интересуется криптокошельками и корпоративными базами данных.
Украденные данные шифруются с помощью X25519 ECDH и ChaCha20-Poly1305, после чего отправляются в Telegram небольшими фрагментами (ради соблюдения ограничений длины сообщений в мессенджере).
Для распространения PCPJack сканирует интернет в поисках открытых Docker-, Kubernetes-, Redis- и MongoDB-инстансов, а также загружает списки доменов из Common Crawl. Затем червь пытается эксплуатировать такие известные баги, как:
- CVE-2025-29927 в Next.js;
- CVE-2025-55182 (React2Shell);
- CVE-2026-1357 в WPvivid Backup;
- CVE-2025-9501 в W3 Total Cache;
- CVE-2025-48703 в CentOS Web Panel.
Во время расследования специалисты также нашли связанную с атакующими инфраструктуру на базе Sliver — популярного фреймворка для постэксплуатации. Аналитики отмечают, что оба набора инструментов выглядят хорошо проработанными и модульными, хотя операторы малвари допускают странные OPSEC-промахи. К примеру, они шифруют почти весь трафик, но оставляют без дополнительной защиты секреты для Telegram и собственную инфраструктуру.
По мнению исследователей, в дальнейшем украденные секреты могут использоваться для спам-кампаний, финансового мошенничества, перепродажи доступов и вымогательства.