PCPJack: nowy robak usuwa ślady TeamPCP i wykrada poświadczenia z chmury

Wprowadzenie do problemu / definicja

PCPJack to nowo opisana rodzina złośliwego oprogramowania wymierzona w aplikacje webowe oraz środowiska chmurowe i kontenerowe. Jej szczególnie niebezpieczną cechą jest połączenie klasycznej kradzieży poświadczeń z usuwaniem artefaktów pozostawionych przez wcześniejsze infekcje powiązane z TeamPCP.

Taki model działania może wskazywać na konflikt między aktorami zagrożeń, próbę przejęcia już skompromitowanej infrastruktury albo wykorzystanie cudzej operacji jako punktu wejścia do własnej kampanii. Z perspektywy obrońców oznacza to bardziej złożone dochodzenia i większe ryzyko utraty kontroli nad środowiskiem.

W skrócie

• PCPJack jest aktywny co najmniej od końca kwietnia 2026 roku.
• Malware startuje od skryptu shell dla Linuksa, który przygotowuje host, usuwa ślady TeamPCP i pobiera kolejne moduły.
• Zagrożenie kradnie poświadczenia, tokeny, klucze SSH, pliki konfiguracyjne i dane z usług chmurowych oraz SaaS.
• Framework wspiera ruch lateralny, rozpoznanie środowiska i samodzielne rozprzestrzenianie się.
• Atak szczególnie zagraża organizacjom korzystającym z lokalnie przechowywanych sekretów i słabo kontrolowanych środowisk kontenerowych.

Kontekst / historia

Analiza kampanii sugeruje, że PCPJack działa w środowiskach wcześniej atakowanych przez TeamPCP, grupę kojarzoną z operacjami wymierzonymi w ekosystem open source i infrastrukturę developerską. Zakres zainteresowania nowego malware jest zbliżony do wcześniejszych działań przypisywanych TeamPCP oraz PCPCat, co może oznaczać wykorzystanie podobnej wiedzy operacyjnej i znajomości tych samych celów.

To ważna zmiana w krajobrazie zagrożeń. Zainfekowane wcześniej systemy nie są już wyłącznie końcowym celem eksfiltracji danych, ale stają się zasobem, który może zostać przejęty przez kolejnych napastników. W praktyce prowadzi to do szybszego nadpisywania śladów, większej zmienności artefaktów i trudniejszego ustalania pełnego przebiegu incydentu.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od skryptu shell dla systemów Linux. Jego zadaniem jest sprawdzenie hosta pod kątem procesów i artefaktów związanych z TeamPCP, a następnie ich usunięcie. Po tej fazie malware tworzy środowisko Python virtualenv, pobiera zestaw dodatkowych modułów, zmienia ich nazwy, ustanawia mechanizmy trwałości, uruchamia główny komponent sterujący i usuwa skrypt początkowy, aby ograniczyć ilość dowodów na systemie.

Architektura PCPJack ma charakter modułowy. Poszczególne komponenty odpowiadają za kradzież poświadczeń, rozpoznanie środowiska, ruch lateralny, szyfrowanie komunikacji C2, identyfikację zakresów chmurowych oraz skanowanie kolejnych celów. Taki podział zwiększa elastyczność frameworka i ułatwia operatorom wymianę elementów bez przebudowy całego zestawu narzędzi.

W obszarze eksfiltracji PCPJack skupia się na danych o wysokiej wartości operacyjnej. Dotyczy to między innymi plików .env, lokalnych plików konfiguracyjnych, zmiennych środowiskowych, kluczy SSH, tokenów API, portfeli kryptowalutowych oraz danych dostępowych do usług takich jak AWS, Kubernetes, Docker, Gmail, GitHub, Office 365, Slack i WordPress. Tego rodzaju informacje często umożliwiają dalszą eskalację dostępu bez potrzeby łamania haseł.

Mechanizm propagacji wykorzystuje wiele ścieżek jednocześnie. Z jednej strony malware próbuje wykorzystywać znane podatności w aplikacjach webowych, panelach administracyjnych i popularnych komponentach. Z drugiej strony używa przejętych poświadczeń do przemieszczania się między środowiskami Kubernetes, Docker, Redis, RayML i MongoDB. Klucze SSH mogą następnie posłużyć do zdalnego uruchamiania skryptu startowego na kolejnych hostach. Komunikacja z infrastrukturą sterującą odbywa się przez Telegram i jest szyfrowana.

Badacze zauważyli także drugi zestaw narzędzi wiązany z tym samym aktorem, obejmujący implanty Sliver oraz dodatkowe mechanizmy kradzieży poświadczeń. Sugeruje to, że PCPJack nie jest prostym jednorazowym skryptem, lecz elementem większego i rozwijanego zaplecza operacyjnego.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem infekcji PCPJack jest przejęcie tożsamości w środowiskach wielochmurowych i hybrydowych. Kradzież kluczy, tokenów i sekretów aplikacyjnych może otworzyć napastnikom drogę do kont administracyjnych, pipeline’ów CI/CD, repozytoriów kodu, systemów komunikacji firmowej i zasobów kontenerowych.

Dla organizacji oznacza to wielowarstwowe ryzyko. Przejęte dane mogą zostać wykorzystane do dalszych włamań, oszustw finansowych, rozsyłania spamu, szantażu albo sprzedaży dostępu innym grupom. Dodatkowym problemem jest fakt, że PCPJack usuwa ślady wcześniejszych infekcji, co zaciera oś czasu zdarzeń i utrudnia przypisanie aktywności konkretnemu aktorowi.

Szczególnie narażone są podmioty, które przechowują sekrety lokalnie w plikach lub zmiennych środowiskowych, nie rotują poświadczeń po incydentach, wystawiają panele administracyjne do internetu albo polegają wyłącznie na segmentacji sieciowej bez ścisłej kontroli tożsamości hostów i workloadów.

Rekomendacje

W pierwszej kolejności warto zweryfikować serwery Linux pod kątem nietypowych skryptów startowych, nieautoryzowanych środowisk virtualenv, podejrzanych mechanizmów persistence oraz nieoczekiwanej komunikacji z usługami komunikatorowymi wykorzystywanymi jako kanał C2. Należy także sprawdzić, czy na hostach nie doszło do usuwania artefaktów wcześniejszych infekcji.

Kluczowe znaczenie ma pilna rotacja poświadczeń: kont chmurowych, kluczy SSH, tokenów API oraz sekretów aplikacyjnych zapisanych w plikach .env lub zmiennych środowiskowych. Samo oczyszczenie systemu bez wymiany danych uwierzytelniających nie zamyka ryzyka ponownego dostępu.

• Ograniczyć publiczną ekspozycję paneli administracyjnych i usług webowych.
• Priorytetowo łatać podatności w frameworkach, wtyczkach i komponentach aplikacyjnych.
• Przenieść sekrety do dedykowanych menedżerów zamiast przechowywać je lokalnie.
• Wzmocnić segmentację i kontrolę dostępu między hostami, klastrami i usługami danych.
• Monitorować użycie kluczy SSH oraz nietypowe połączenia między workloadami.
• Wdrożyć detekcję anomalii w dostępie do usług SaaS, IaaS i środowisk kontenerowych.
• Analizować logi chmurowe, kontenerowe i orkiestracyjne pod kątem ruchu lateralnego.

Z perspektywy SOC warto przygotować korelacje obejmujące utworzenie środowiska Python na serwerze produkcyjnym, pobranie wielu modułów z zewnętrznego źródła, szybkie usunięcie skryptu startowego, odczyt plików .env oraz równoległe próby uwierzytelnienia do wielu usług. Taki zestaw zdarzeń może pomóc wykryć PCPJack nawet bez pełnego zestawu wskaźników kompromitacji.

Podsumowanie

PCPJack reprezentuje rosnącą klasę wielofunkcyjnego malware dla środowisk chmurowych i kontenerowych. Łączy kradzież poświadczeń, ruch lateralny, automatyzację propagacji i przejmowanie już naruszonych hostów, przez co stanowi poważne zagrożenie dla nowoczesnych środowisk IT.

Najgroźniejszy aspekt tej kampanii nie ogranicza się do pojedynczej infekcji. Prawdziwe ryzyko polega na możliwości szybkiego przekształcenia jednego naruszenia w szerokie przejęcie tożsamości i zasobów całej organizacji. Ochrona sekretów aplikacyjnych, kluczy maszynowych i konfiguracji chmurowej powinna być dziś traktowana na równi z ochroną kont uprzywilejowanych.

Źródła

1. SecurityWeek – PCPJack Worm Removes TeamPCP Infections, Steals Credentials — https://www.securityweek.com/pcpjack-worm-removes-teampcp-infections-steals-credentials/
2. SentinelOne – PCPJack analysis — https://www.sentinelone.com/