2 Remove Virus

Das FBI warnt Organisationen, nachdem TeamPCP-Lieferkettenangriffe mehr als 1.000 Cloud-Umgebungen kompromittieren

Das US-amerikanische FBI warnt Organisationen vor TeamPCP, einer Cyberkriminellengruppe, die hinter einer Reihe von Software-Lieferkettenangriffen steckt, die mehr als 1.000 Cloud-Umgebungen kompromittiert haben. Die Behörde sagt, die Angreifer hätten weit verbreitete Entwickler- und Sicherheitstools ins Visier genommen, sodass sie sensible Zugangsdaten stehlen und Zugang zur Unternehmensinfrastruktur erhalten konnten.

 

 

According to the FBI Die Strategie von TeamPCP unterscheidet sich von traditionellen Netzwerk-Eindringen. Anstatt Organisationen direkt anzugreifen, kompromittiert die Gruppe vertrauenswürdige Softwarepakete und Entwicklungstools, die bereits in CI/CD-Pipelines integriert sind. Sobald ein bösartiges Update installiert ist, kann die Malware Cloud-Zugriffstoken, SSH-Schlüssel, Kubernetes-Geheimnisse, API-Schlüssel und andere sensible Zugangsdaten aus Opferumgebungen sammeln.

Die Warnung verbindet die Operation mit vier Malware-Familien: CanisterWorm, SANDCLOCK, Mini Shai-Hulud und Miasma. Jede erfüllt einen anderen Zweck, von Credential-Diebstahl bis hin zur Selbstverbreitung durch Open-Source-Paket-Repositorien wie npm und PyPI. Das FBI sagt, dass diese Tools es den Angreifern ermöglicht haben, bösartigen Code über die ursprünglichen Opfer hinaus zu verbreiten und zusätzliche Softwareökosysteme zu kompromittieren.

Ermittler identifizierten außerdem mehrere legitime Projekte, die während der Kampagne modifiziert wurden. Dazu gehören Trivy, KICS, LiteLLM und das Telnyx Python SDK. Da diese Werkzeuge weit verbreitet in der Softwareentwicklung und Sicherheitstests eingesetzt werden, könnte ein einziges kompromittiertes Update zahlreiche Organisationen offenlegen, bevor die bösartigen Pakete entfernt werden.

Das FBI warnt, dass Organisationen alle während der Kampagne sichtbaren Referenzdaten als dauerhaft kompromittiert betrachten sollten. Selbst wenn der anfängliche Einbruch eingedämmt wurde, könnten gestohlene Authentifizierungsdaten später von TeamPCP oder anderen Bedrohungsakteuren genutzt werden, um Zugang zurückzugewinnen oder Folgeangriffe, einschließlich Ransomware-Operationen, zu unterstützen. Die Warnung besagt außerdem, dass die Gruppe Erpressung betrieben hat, indem sie damit droht, gestohlene Daten von Opferorganisationen zu veröffentlichen.

Die Warnung folgt auf Forschungen von Sophos, die in der FBI-Warnung erwähnt werden und eine TeamPCP-Kampagne beschreiben, die mehr als 1.000 Unternehmens-Software-as-a-Service-Umgebungen betraf. Forscher berichteten, dass die Angreifer mehrere weit verbreitete Softwarepakete kompromittierten, bösartigen Code über Dutzende von npm-Paketen verbreiteten und etwa 300 GB komprimierter Daten mit schätzungsweise 500.000 Anmeldedatensätzen extrafiltrierten.

Um das Risiko einer Kompromittierung zu verringern, empfiehlt das FBI, alle offengelegten Zugangsdaten zu rotieren, Multi-Faktor-Authentifizierung durchzusetzen, Least-Privileg-Zugriffskontrollen in CI/CD-Umgebungen anzuwenden und Build-Pipelines auf unautorisierte Änderungen zu überprüfen. Die Behörde rät außerdem Organisationen, GitHub Actions-Workflows so zu pinnen, dass sie verifizierte Commit SHA-Hashes statt floating version tags nutzen, um das Risiko zu verringern, dass schädlicher Code durch Softwareabhängigkeiten eingeführt wird.

Das FBI fordert Organisationen, die Beweise für TeamPCP-Aktivitäten finden, dazu auf, forensische Daten zu bewahren und Vorfälle an das Amt zu melden. Beamte sagen, dass das Teilen von Indikatoren für Kompromittierungen und Angriffsdetails den Ermittlern helfen wird, die Infrastruktur der Gruppe zu verfolgen und laufende Bemühungen zu unterstützen, zukünftige Angriffe in der Lieferkette zu stören.