Siber güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin kurbanlarını hedef alan alışılmadık bir tehdit kampanyası keşfetti. SentinelOne kıdemli tehdit araştırmacısı Alex Delamotte'a göre PCPJack, 'açıkta kalan bulut altyapısında solucan gibi yayılan ve TeamPCP ile ilişkili yapay öğeleri kaldıran' bir kimlik bilgisi hırsızlığı çerçevesidir.
TeamPCP, bu yıl Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısı için GitHub Actions'ı tehlikeye atan ve LiteLLM dahil sayısız alt kullanıcıya bilgi hırsızı kötü amaçlı yazılım bulaştıran büyük açık kaynak tedarik zinciri saldırılarının arkasındaki gruptur. Delamotte, 'PCPJack çerçevesi tarafından hedef alınan hizmetlerin çoğu, Aralık 2025'teki erken TeamPCP/PCPCat kampanyalarına benziyor' dedi.
TeamPCP ile ilişkili tüm yapay öğeleri kaldırdıktan sonra PCPJack, kurbanın bulut sistemleri aracılığıyla çoğalmak üzere tasarlanmış kod dağıtır ve Docker, Kubernetes, Redis, MongoDB, RayML ve savunmasız web uygulamalarından kimlik bilgileri çalar. Kripto para kimlik bilgilerini çalacak şekilde programlanmış olmasına rağmen, kripto madenciliği işlevselliğinden yoksundur.
Sonuç ve Değerlendirme
SentinelOne, benzer tehditlere karşı korunmak için kuruluşların bulut ve web uygulaması güvenliği en iyi uygulamalarına bağlı kalmasını öneriyor: kurumsal çapta kimlik bilgisi kasası kullanmak, kimlik bilgisi kasalarına erişimi asla düz metin dosyasında saklamamak, hizmet hesapları için çok faktörlü kimlik doğrulama (MFA) gerektirmek, AWS ortamlarında IMDSV2'yi zorunlu kılmak, yalnızca onaylı S3 kaynaklarından indirmelere izin vermek ve Docker ile Kubernetes için kimlik doğrulama kullanmaktır.