El Buró Federal de Investigación de EE. UU. (FBI) está advirtiendo a las organizaciones sobre TeamPCP, un grupo cibercriminal responsable de una serie de ataques a la cadena de suministro de software que han comprometido más de 1.000 entornos en la nube. La agencia afirma que los atacantes atacaron herramientas de desarrollo y seguridad ampliamente utilizadas, permitiéndoles robar credenciales sensibles y acceder a la infraestructura empresarial.

 

 

According to the FBI , La estrategia de TeamPCP difiere de las intrusiones tradicionales en la red. En lugar de atacar directamente a las organizaciones, el grupo compromete paquetes de software y herramientas de desarrollo confiables que ya están integrados en las pipelines CI/CD. Una vez instalada una actualización maliciosa, el malware puede obtener tokens de acceso a la nube, claves SSH, secretos de Kubernetes, claves API y otras credenciales sensibles de entornos víctimas.

El aviso vincula la operación a cuatro familias de malware: CanisterWorm, SANDCLOCK, Mini Shai-Hulud y Miasma. Cada uno cumple un propósito diferente, que va desde el robo de credenciales hasta la autopropagación a través de repositorios de paquetes de código abierto como npm y PyPI. El FBI afirma que estas herramientas permitieron a los atacantes difundir código malicioso más allá de las víctimas iniciales y comprometer ecosistemas de software adicionales.

Los investigadores también identificaron varios proyectos legítimos que fueron modificados durante la campaña. Entre ellos se encuentran Trivy, KICS, LiteLLM y el SDK Python de Telnyx. Dado que estas herramientas se utilizan ampliamente en el desarrollo de software y las pruebas de seguridad, una sola actualización comprometida podría exponer a numerosas organizaciones antes de que se eliminen los paquetes maliciosos.

El FBI advierte que las organizaciones deberían tratar cualquier credencial expuesta durante la campaña como comprometida de forma permanente. Incluso si la intrusión inicial ha sido contenida, los datos de autenticación robados podrían ser usados posteriormente por TeamPCP u otros actores maliciosos para recuperar el acceso o apoyar ataques posteriores, incluidas operaciones de ransomware. El aviso también señala que el grupo ha recurrido a extorsión amenazando con publicar datos robados de organizaciones víctimas.

La advertencia sigue a una investigación de Sophos, mencionada en la alerta del FBI, que describe una campaña de TeamPCP que afectó a más de 1.000 entornos empresariales de software como servicio. Los investigadores afirmaron que los atacantes comprometieron múltiples paquetes de software ampliamente desplegados, difundieron código malicioso a través de decenas de paquetes npm y exfiltraron aproximadamente 300 GB de datos comprimidos que contenían unos 500.000 conjuntos de credenciales.

Para reducir el riesgo de compromiso, el FBI recomienda rotar todas las credenciales expuestas, hacer cumplir la autenticación multifactor, aplicar controles de acceso de privilegio mínimo en entornos CI/CD y revisar las pipelines de compilación en busca de modificaciones no autorizadas. La agencia también aconseja a las organizaciones fijar los flujos de trabajo de GitHub Actions a hashes SHA de commit verificados en lugar de etiquetas de versión flotantes, ayudando a reducir el riesgo de introducción de código malicioso a través de dependencias de software.

El FBI está instando a las organizaciones que descubran pruebas de la actividad de TeamPCP a preservar datos forenses y reportar incidentes a la agencia. Los responsables afirman que compartir indicadores de compromiso y detalles de ataques ayudará a los investigadores a rastrear la infraestructura del grupo y a apoyar los esfuerzos en curso para interrumpir futuros ataques a la cadena de suministro.

Deja un comentario