Skupina TeamPCP kompromituje populárne softvérové balíky a produkty

Popis hrozby:

Skupina TeamPCP vedie niekoľkofázovú, eskalujúcu kampaň zameranú na kompromitáciu softvérového dodávateľského reťazca. Útočníci zneužívajú dôveryhodné distribučné kanály (PyPI, GitHub, NPM, Docker Hub) a kompromitujú populárne nástroje a knižnice (Trivy, KICS, LiteLLM, Telnyx), čím obchádzajú tradičné bezpečnostné mechanizmy.

Cieľom skupiny je distribúcia malvéru, ktorý následne umožňuje krádež prihlasovacích údajov, kompromitáciu prostredí CI/CD a krádež kryptomien. V niektorých prípadoch vykonáva aj deštruktívne útoky, aktuálne zamerané proti Iránu.

Kampane skupiny TeamPCP predstavujú vysoké riziko pre organizácie využívajúce open-source nástroje a knižnice.

Kampane:

1. Kampaň proti Docker API, Kubernetes, REDIS  React Server (december 2025): Skupina TeamPCP viedla v decembri 2025 kampaň, v ktorej zneužívala nedostatočne zabezpečené Docker API, klastre Kubernetes, dashboardy RAY, servery REDIS a zraniteľnosť React2Shell (CVE-2025-55182) nástroja React Server Components na vytváranie škodlivej infraštruktúry. Kompromitované uzly boli zneužívané na široké spektrum škodlivých aktivít vrátane zapojenia do proxy sietí, skenovania a ďalšieho šírenia, ťažby kryptomien, exfiltráciu citlivých údajov, nasadenie ransomvéru a následné vydieranie obetí. Skupina exfiltrované dáta zverejňovala na svojom telegramovom kanáli.
2. Trivy – útok na dodávateľský reťazec (marec 2026): Skupina kompromitovala populárny bezpečnostný nástroj na skenovanie zraniteľností Trivy. Útočníci zneužili chybu v GitHub Actions workflow (konkrétne pull_request_target), cez ktorú získali privilegovaný token GitHub (PAT). Následne prevzali kontrolu nad repozitárom, mazali vydania a publikovali škodlivé rozšírenie VS Code obsahujúce infostealer. Útok bol súčasťou širšej automatizovanej kampane hackerbot-claw, ktorá skenovala tisíce projektov na zraniteľné konfigurácie CI/CD. Kampaň prebiehala aj v marci 2026, kedy skupina rozšírila útok na dodávateľský reťazec cez infikované inštancie Trivy publikované na Docker Hub.
3. Checkmarx KICS – útok na dodávateľský reťazec (marec 2026): TeamPCP kompromitovala bezpečnostný skenovací nástroj KICS spoločnosti Checkmarx pre GitHub Action, prostredníctvom ktorého následne šírila infostealer.
4. Knižnice PyPI – útok na dodávateľský reťazec (marec 2026): Skupina infikovala knižnice Telnyx a LiteLLM distribuované nástrojom PyPI pre programovací jazyk Python škodlivým kódom, ktorý vytvára v infikovaných systémoch zadné vrátka a kradne prihlasovacie údaje a iné citlivé údaje. Exfiltrované dáta ukryla v audio súboroch.
5. CanisterWorm a deštruktívna kampaň voči Iránu (marec 2026): Skupina vykonávala útoky na dodávateľský reťazec v rámci kampani nesúcej podobné znaky, ako kampaň šíriaca infostealer CanisterWorm. Tento malvér napríklad využíva rovnaký ICP kanister pre C2. Nová kampaň sa zameriava na odhaľovanie iránskych systémov. Malvér na základe časovej zóny a locale cieľový systém klastrov Kubernetes buď infikuje malvérom CanisterWorm a vytvorí zadné vrátka, alebo v prípade indikácie, že sa jedná o iránsky systém, pristúpi k deštruktívnemu mazaniu klastrov Kubernetes.
6. Krádež zdrojového kódu spoločnosti Cisco (marec 2026): Spoločnosť Cisco zasiahol kybernetický incident, keď viacero útočných skupín zneužilo ukradnuté prihlasovacie údaje získané v rámci kampane kompromitujúcej nástroj Trivy. Prenikli do jej interného vývojového prostredia, kde pomocou škodlivého modulu GitHub Actions získali prístup ku prostrediam CI/CD. Odtiaľ odcudzili zdrojový kód a AWS kľúče firmy aj jej zákazníkov. Útočníci skopírovali stovky repozitárov. Incident zasiahol viacero zariadení vrátane vývojárskych staníc spoločnosti. Cisco izolovala zasiahnuté systémy a začala rotovať prihlasovacie údaje.

Dopad na Slovensko:

Vzhľadom na obľúbenosť kompromitovaných knižníc a nástrojov medzi vývojármi sa malvér šírený v rámci kampane skupiny TeamPCP mohol rozšíriť aj do produktov a repozitárov slovenských softvérových developerov, resp. ich zákazníkov.

Odporúčania:

• Ak používate nástroj Trivy vo verzii 0.69.4, 0.69.5 alebo 0.69.6, Trivy-action s tagom 0.34.2 alebo starším a Setup-trivy verzie nižšej ako 0.2.6, vymeňte verziu na Trivy 0.69.3, Trivy-action na 0.35.0 a Setup-trivy na 0.2.6, alebo novšiu nekompromitovanú verziu. Preverte tiež prítomnosť indikátorov kompromitácie.
• Ak používate skener Chceckmarx KICS (kics-github-action) verzie 1.1, zmeňte používanú verziu. Preverte tiež prítomnosť indikátorov kompromitácie.
• Ak používate knižnicu Telnyx verzie 4.87.1 alebo 4.87.2, aktualizujte na vyššiu verziu, alebo vykonajte downgrade na verziu 4.87.0. Preverte tiež prítomnosť indikátorov kompromitácie.
• Ak používate knižnicu LiteLLM vo verziách 1.82.7 alebo 1.82.8, aktualizujte na vyššiu verziu, alebo vykonajte downgrade na verziu 1.82.6. Návod na mitigáciu hrozby a indikátory kompromitácie nájdete tu.
• Ak využívate infraštruktúru Kubernetes, preverte prítomnosť indikátorov kompromitácie kampane CanisterWorm.

• Venujte pozornosť aj spôsobu, akým váš kód definuje používané verzie knižníc. Ak napríklad  používate „un/pinned“ verzie v requirements.txt, skontrolujte, či sú striktne definované len overené verzie bez kompromitácie.
• Odrotujte relačné tokeny a API kľúče.

Zdroje:

• https://telnyx.com/resources/telnyx-python-sdk-supply-chain-security-notice-march-2026
• https://www.ox.security/blog/telnyx-malware-teampcp-strikes-again-following-litellm-compromise/
• https://www.ox.security/blog/litellm-malware-malicious-pypi-versions-steal-cloud-and-crypto-credentials/
• https://www.endorlabs.com/learn/teampcp-isnt-done
• https://socket.dev/blog/trivy-under-attack-again-github-actions-compromise
• https://socket.dev/blog/trivy-docker-images-compromised
• https://flare.io/learn/resources/blog/teampcp-cloud-native-ransomware
• https://www.wiz.io/blog/teampcp-attack-kics-github-action
• https://www.aikido.dev/blog/teampcp-stage-payload-canisterworm-iran
• https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/