Scroll untuk baca artikel
Networking

Worm PCPJack baru mencuri kredensial, membersihkan infeksi TeamPCP

29
×

Worm PCPJack baru mencuri kredensial, membersihkan infeksi TeamPCP

Share this article
worm-pcpjack-baru-mencuri-kredensial,-membersihkan-infeksi-teampcp
Worm PCPJack baru mencuri kredensial, membersihkan infeksi TeamPCP

Worm PCPJack baru mencuri kredensial, membersihkan infeksi TeamPCP

Kerangka kerja malware baru yang disebut PCPJack mencuri kredensial dari infrastruktur cloud yang terekspos sekaligus secara aktif menghapus akses TeamPCP ke sistem.

Example 300x600

Di antara layanan yang ditargetkan adalah Docker, Kubernetes, Redis, MongoDB, RayML, dan aplikasi web yang rentan. Dalam banyak kasus, pelaku ancaman bergerak ke samping dalam jaringan.

Peneliti SentinelLabs mengatakan bahwa PCPJack tampaknya dirancang untuk pencurian kredensial berskala besar, dan kemungkinan besar memonetisasi aktivitasnya melalui penipuan finansial, operasi spam, penjualan kembali kredensial, atau pemerasan.

TeamPCP adalah kelompok ancaman yang berfokus pada cloud dan dikenal sering melakukan pelanggaran rantai pasokan tingkat tinggi Trivy Keamanan Aqua pemindai, itu LiteLMM Dan Telnyx Paket PyPI, dan yang lebih baru, Paket SAP npm.

Karena kemiripannya dengan serangan TeamPCP, SentinelLabs yakin bahwa PCPJack mungkin dikembangkan oleh mantan afiliasi atau anggota TeamPCP yang memulai operasi mereka sendiri.

“Banyak layanan yang ditargetkan oleh kerangka PCPJack serupa dengan kampanye awal TeamPCP/PCPCat pada bulan Desember 2025, sebelum kampanye dengan visibilitas tinggi pada awal tahun 2026 membawa perhatian signifikan pada TeamPCP dan konon menyebabkan perubahan dalam keanggotaan grup,” jelas para peneliti.

“Kami yakin orang ini mungkin adalah mantan operator yang sangat paham dengan peralatan yang dimiliki grup ini.”

Dalam laporannya hari ini, SentinelLabs mengatakan bahwa PCPJack menginfeksi sistem cloud berbasis Linux menggunakan skrip shell yang disebut bootstrap.sh.

Setelah dieksekusi, ia membuat direktori kerja tersembunyi, menginstal dependensi Python, mengunduh modul tambahan, membangun persistensi, dan meluncurkan orkestrator utama (monitor.py).

Selama tahap awal ini, PCPJack secara eksplisit memeriksa peralatan TeamPCP dan mencoba untuk menghapus semuanya, sehingga mengklaim kompromi tersebut untuk mereka sendiri.

Para peneliti mengatakan bahwa aktivitas pembersihan mencakup penghapusan proses, layanan, kontainer, file, dan artefak persistensi TeamPCP, sehingga sepenuhnya menghilangkan infeksi.

Menghapus artefak TeamPCP
Menghapus artefak TeamPCP
Sumber: SentinelLabs

Kemampuan PCPJack terutama berkisar pada pencurian kredensial, menargetkan lingkungan cloud, sistem pengembang, aplikasi messenger, layanan keuangan, database, kunci SSH, token Slack, konfigurasi WordPress, kunci OpenAI, kunci Anthropic, Discord, DigitalOcean, dan banyak lagi.

Kredensialnya dieksfiltrasi ke saluran Telegram setelah dienkripsi menggunakan X25519 ECDH dan ChaCha20-Poly1305, dan dipecah menjadi potongan 2.800 byte dengan mematuhi batas karakter pesan Telegram.

Kredensial yang ditargetkan
Layanan yang ditargetkan dalam serangan PCPJack
Sumber: SentinelLabs

PCPJack menyebar dengan memindai infrastruktur cloud eksternal untuk mencari layanan yang terekspos seperti Docker, Kubernetes, Redis, MongoDB, dan RayML, kemudian mencoba mengeksploitasi kerentanan yang diketahui untuk mendapatkan akses.

Itu juga mengunduh data nama host dari file parket Common Crawl dan menggunakannya sebagai target baru untuk proses pemindaian target pemindaian.

Peneliti SentinelLabs mencatat bahwa PCPJack mengeksploitasi kerentanan berikut:

  • CVE-2025-29927: bypass autentikasi di middleware Next.js melalui header yang dibuat
  • CVE-2025-55182 (“React2Shell”): Cacat deserialisasi Tindakan Server di React dan Next.js
  • CVE-2026-1357: unggahan file yang tidak diautentikasi di WPVivid Backup
  • CVE-2025-9501: Injeksi PHP di W3 Total Cache melalui komentar mfunc yang di-cache
  • CVE-2025-48703: injeksi shell di CentOS Web Panel Filemanager changePerm fungsionalitas

Di dalam lingkungan yang disusupi, malware melakukan pergerakan lateral dengan mengambil kunci dan kredensial SSH, menghitung klaster Kubernetes dan daemon Docker, dan mengeksekusi dirinya sendiri di host internal yang dapat dijangkau.

Setelah akses diperoleh, ia akan menetapkan persistensi menggunakan layanan systemd, tugas cron, penulisan ulang cron Redis, atau container dengan hak istimewa sebelum melanjutkan propagasi.

SentinelLabs juga menemukan a sepotongpintu belakang berbasis pada infrastruktur pelaku ancaman, dengan varian untuk mendukung arsitektur sistem x86_64, x86, dan ARM.

Untuk memitigasi risiko ini, para peneliti merekomendasikan penerapan autentikasi multi-faktor (MFA), menggunakan IMDSv2 di AWS, memastikan autentikasi yang tepat untuk layanan Docker dan Kubernetes, mengikuti prinsip hak istimewa paling rendah, dan menghindari penyimpanan rahasia dalam teks biasa.

gambar artikel

99% Mitos yang Ditemukan Masih Belum Ditambal.

AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.

Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.

Klaim Tempat Anda