Siber güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin mağdurlarını hedef alan sıra dışı bir tehdit kampanyası keşfetti. SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte'a göre PCPJack, 'açık bulut altyapısında solucan gibi yayılan ve TeamPCP ile ilişkili tüm yapıtları kaldıran' bir kimlik bilgisi çalma çerçevesi.
TeamPCP, bu yıl Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısının GitHub Actions'ını tehlikeye atarak LiteLLM de dahil olmak üzere sayısız kullanıcıya bilgi hırsızı kötü amaçlı yazılım bulaştıran büyük açık kaynak tedarik zinciri saldırılarına imza atmıştı. Delamotte, 'PCPJack çerçevesinin hedef aldığı hizmetlerin çoğu, Aralık 2025'teki erken dönem TeamPCP/PCPCat kampanyalarına benziyor,' diyerek bu kampanyanın grubun araçlarını iyi bilen eski bir operatör tarafından yürütüldüğünü belirtti.
PCPJack, TeamPCP'ye ait tüm yapıtları temizledikten sonra, kurbanın bulut sistemlerinde çoğalmak üzere kod yerleştiriyor ve Docker, Kubernetes, Redis, MongoDB, RayML ile güvenlik açığı bulunan web uygulamalarından kimlik bilgilerini çalıyor. SentinelLABS raporuna göre, kripto para kimlik bilgilerini çalacak şekilde programlanmış olsa da kripto madenciliği işlevi bulunmuyor. Delamotte, 'Neredeyse tüm orta düzeyde karmaşık bulut tehdit kampanyaları bir noktada XMRig veya benzerini kullanır. Bu kampanya kullanmıyor ve TeamPCP ile ilişkili madencilik işlevlerini kasıtlı olarak kaldırıyor,' dedi.
Sonuç ve Değerlendirme
SentinelOne, kuruluşları PCPJack tarzı saldırılara karşı korunmak için bulut ve web uygulaması güvenliği en iyi uygulamalarına uymaya çağırdı: kurumsal çapta kimlik bilgisi kasası veya sır yönetimi hizmeti kullanmak, kimlik bilgisi kasalarına erişimin asla düz metin olarak kaydedilmemesi, hizmet hesapları için yalnızca API anahtarı yerine çok faktörlü kimlik doğrulama (MFA) kullanılması, AWS ortamlarında IMDSV2'nin zorunlu kılınması, yalnızca onaylı S3 kaynaklarından indirmelere izin verilmesi, Docker ve Kubernetes için internet'e açık olmasa bile kimlik doğrulama kullanılması ve Kubernetes hizmet hesaplarına en az ayrıcalık ilkesinin uygulanması. Delamotte, 'PCPJack ve benzeri araç setlerinin etkileri, veri ifşası ve şantajdan, yüksek limitli kurumsal API hizmetlerine erişen bir saldırganın neden olduğu finansal kayıplara kadar uzanıyor,' uyarısında bulundu.