Siber güvenlik araştırmacıları, kötü şöhretli siber suç grubu TeamPCP'nin kurbanlarını hedef alan yeni ve sıra dışı bir tehdit kampanyası keşfetti. SentinelOne güvenlik firmasının kıdemli tehdit araştırmacısı Alex Delamotte'a göre PCPJack, 'açıkta kalan bulut altyapısında yayılan ve TeamPCP ile ilişkili tüm izleri temizleyen' bir kimlik bilgisi çalma çerçevesi.
TeamPCP, bu yıl içinde gerçekleştirdiği büyük açık kaynak tedarik zinciri saldırılarıyla biliniyor. Bunlardan biri, Aqua Security'nin popüler Trivy güvenlik açığı tarayıcısının GitHub Actions'ını tehlikeye atarak LiteLLM de dahil olmak üzere sayısız kullanıcıya bilgi çalan kötü amaçlı yazılım bulaştırmıştı. Delamotte, 'PCPJack çerçevesinin hedef aldığı hizmetlerin çoğu, Aralık 2025'teki erken TeamPCP/PCPCat kampanyalarına benziyor' dedi.
PCPJack, TeamPCP ile ilgili tüm eserleri temizledikten sonra, kurbanın bulut sistemlerinde çoğalmak üzere tasarlanmış kod dağıtıyor. Bu kod, Docker, Kubernetes, Redis, MongoDB, RayML ve güvenlik açığı bulunan web uygulamalarından kimlik bilgilerini çalıyor. SentinelLABS raporuna göre, kripto para kimlik bilgilerini çalmak üzere programlanmış olmasına rağmen, kripto madenciliği işlevi bulunmuyor.
Delamotte, 'Neredeyse tüm orta düzey bulut tehdit kampanyaları bir noktada XMRig veya benzerini dağıtır, ancak bu kampanya bunu yapmıyor ve TeamPCP ile ilişkili madencilik işlevlerini kasıtlı olarak kaldırıyor' dedi. Bu, amacın 'kimlik bilgisi hırsızlığı, dolandırıcılık, spam, şantaj veya çalınan erişimin yeniden satışı' yoluyla para kazanmak olduğunu gösteriyor. SentinelOne, kuruluşların bu tür tehditlere karşı bulut ve web uygulaması güvenliği en iyi uygulamalarını takip ederek savunma yapmasını öneriyor.