Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
PCPJack to nowo opisany framework kradzieży poświadczeń zaprojektowany z myślą o atakowaniu źle zabezpieczonych środowisk chmurowych, kontenerowych i aplikacyjnych. Zagrożenie łączy funkcje stealera, narzędzia do ruchu bocznego oraz mechanizmu samodzielnej propagacji, dzięki czemu może szybko przechodzić między hostami i usługami.
Najważniejszą cechą PCPJack jest koncentracja na przejmowaniu sekretów i dostępu. Malware zbiera dane z systemów Linux, Kubernetes, Dockera, baz danych i aplikacji webowych, a następnie wykorzystuje je do dalszej ekspansji w infrastrukturze ofiary.
W skrócie
PCPJack został ujawniony 7 maja 2026 roku jako zaawansowany zestaw narzędzi do kradzieży poświadczeń atakujący publicznie dostępne usługi chmurowe i webowe. Kampania wykorzystuje pięć znanych podatności: CVE-2025-29927 w Next.js, CVE-2025-55182 związane z React Server Components, CVE-2026-1357 we wtyczce WPvivid Backup, CVE-2025-9501 we wtyczce W3 Total Cache oraz CVE-2025-48703 w CentOS Web Panel.
- Atakuje środowiska cloud-native, kontenery i aplikacje webowe
- Automatycznie rozprzestrzenia się między hostami
- Kradnie sekrety lokalne, chmurowe i aplikacyjne
- Wykorzystuje ruch boczny przez Kubernetes, Docker, Redis i SSH
- Nie zawiera komponentu cryptominingu, co sugeruje inną ścieżkę monetyzacji
Kontekst / historia
Kampania wykazuje podobieństwa do wcześniejszych działań wiązanych z ekosystemem TeamPCP, jednak nowe narzędzie usuwa procesy, pliki i artefakty kojarzone z tym aktorem. Taki wzorzec może wskazywać na konflikt między operatorami, próbę przejęcia wcześniej naruszonych środowisk albo działalność podmiotu dobrze znającego wcześniejsze techniki ofensywne.
Pierwszym etapem infekcji jest bootstrapowy skrypt dla Linuksa, którego zadaniem jest przygotowanie środowiska, pobranie kolejnych modułów i uruchomienie głównego komponentu. Już na starcie malware sprawdza otoczenie, instaluje zależności, usuwa ślady konkurencyjnych narzędzi oraz wdraża mechanizmy trwałości, co świadczy o dojrzałym i przemyślanym charakterze operacji.
Analiza techniczna
PCPJack ma architekturę modułową. Główny komponent pełni rolę orchestratora odpowiedzialnego za koordynację modułów, lokalne pozyskiwanie poświadczeń, komunikację z infrastrukturą sterującą oraz rozprzestrzenianie się na kolejne cele. Poszczególne moduły realizują zadania takie jak parsowanie sekretów, szyfrowanie danych przed eksfiltracją, skanowanie zewnętrznych zasobów i pobieranie zakresów adresowych dostawców chmurowych.
Po uruchomieniu malware tworzy katalog roboczy, instaluje Python 3.6 lub nowszy, pobiera zestaw modułów i uruchamia proces podszywający się pod legalne narzędzie monitorujące. Trwałość osiągana jest przez usługę systemd albo zadania cron, zależnie od dostępnych uprawnień.
Następnie PCPJack rozpoczyna zbieranie danych z wielu źródeł. Interesują go między innymi pliki .env, konfiguracje aplikacji, zmienne środowiskowe, klucze SSH, historia poleceń, tokeny service account Kubernetes, sekrety Dockera oraz dane uwierzytelniające dostępne przez metadane usług chmurowych.
Kluczowym elementem kampanii jest automatyczna propagacja. Framework wykorzystuje pięć podatności umożliwiających przejmowanie kolejnych hostów i usług:
- CVE-2025-29927 — obejście mechanizmów autoryzacji w middleware Next.js
- CVE-2025-55182 — problem związany z niebezpieczną deserializacją w React Server Components
- CVE-2026-1357 — nieuwierzytelnione przesłanie pliku i wykonanie kodu we wtyczce WPvivid Backup
- CVE-2025-9501 — wstrzyknięcie poleceń PHP przez podatną logikę W3 Total Cache
- CVE-2025-48703 — zdalne wykonanie kodu w CentOS Web Panel
Dobór celów nie jest przypadkowy. PCPJack buduje listy skanowania na podstawie publicznych zbiorów danych zawierających nazwy hostów, a następnie sprawdza usługi charakterystyczne dla Dockera, Kubernetes, Redis, MongoDB i RayML. Jeśli wykryje podatny punkt wejścia lub błędnie wystawiony interfejs administracyjny, przechodzi do infekcji i dalszej eksploracji środowiska.
Ruch boczny stanowi jeden z najgroźniejszych elementów frameworka. W Kubernetes malware wykorzystuje tokeny service account do enumeracji namespace’ów, podów, sekretów i ConfigMap. W środowiskach Dockerowych wyszukuje lokalny lub zdalny socket API, a następnie może uruchamiać kontenery z dostępem do systemu hosta. W przypadku Redis skanuje klucze pod kątem sekretów i może ustanawiać trwałość przez modyfikację cron. Dodatkowo PCPJack próbuje poruszać się przez SSH, wykorzystując znalezione klucze prywatne i dane z konfiguracji użytkowników.
Eksfiltracja danych odbywa się z użyciem kanału komunikacyjnego opartego na Telegramie. Część informacji jest szyfrowana przed wysłaniem, choć badacze wskazali również błędy operacyjne operatora. Obok głównego frameworka zaobserwowano także dodatkowe narzędzia pobierające beacony Sliver i wyszukujące klucze do usług chmurowych, narzędzi AI, platform produktywności oraz systemów zarządzania sekretami.
Konsekwencje / ryzyko
Ryzyko związane z PCPJack jest wysokie, ponieważ kampania łączy kilka etapów ataku w jeden spójny łańcuch operacyjny. Nie chodzi wyłącznie o jednorazowe wykorzystanie luki, lecz o szybkie przejście od wejścia początkowego do kradzieży danych, utrzymania dostępu i dalszego rozprzestrzeniania się.
Najpoważniejsze konsekwencje obejmują przejęcie kluczy API, danych SMTP, tokenów chmurowych, sekretów aplikacyjnych, kluczy SSH oraz poświadczeń do narzędzi firmowych. Obecność mechanizmów ruchu bocznego oznacza, że kompromitacja jednego hosta może w krótkim czasie przerodzić się w pełne naruszenie środowiska chmurowego lub kontenerowego.
Na szczególne ryzyko narażone są organizacje utrzymujące publicznie dostępne panele administracyjne, niesegregowane środowiska kontenerowe, nadmiernie uprzywilejowane konta serwisowe Kubernetes oraz systemy przechowujące sekrety w plikach tekstowych. Dodatkowym czynnikiem ryzyka jest ekspozycja usług zarządzających, takich jak Docker API czy Redis, bez właściwego uwierzytelniania.
Rekomendacje
Priorytetem powinno być szybkie usunięcie podatnych wersji oprogramowania i ograniczenie ekspozycji usług administracyjnych. Organizacje powinny przeprowadzić przegląd systemów internetowych oraz sprawdzić, czy wskazane luki nie są obecne w aplikacjach produkcyjnych, deweloperskich i testowych.
- Zaktualizować podatne wersje Next.js, komponentów React Server Components, WPvivid Backup, W3 Total Cache i CentOS Web Panel
- Wymusić uwierzytelnianie dla Docker API, Kubernetes API, Redis i innych interfejsów zarządzających
- Wyłączyć publiczną ekspozycję paneli administracyjnych, jeśli nie jest niezbędna
- Ograniczyć uprawnienia kont service account zgodnie z zasadą najmniejszych uprawnień
- Blokować uruchamianie kontenerów uprzywilejowanych i montowanie systemu plików hosta
- Monitorować tworzenie nietypowych usług systemd, wpisów cron i nowych katalogów roboczych
- Wdrożyć centralne zarządzanie sekretami i regularną rotację kluczy API
- Wymuszać MFA tam, gdzie jest dostępne, oraz segmentować dostęp między środowiskami
W obszarze detekcji warto zwrócić uwagę na nietypowe użycie Telegrama przez serwery produkcyjne, masowe skanowanie portów usług kontenerowych i bazodanowych, odczytywanie dużej liczby plików konfiguracyjnych oraz próby wykonywania poleceń w kontenerach i odczytu sekretów Kubernetes.
Podsumowanie
PCPJack to przykład nowoczesnego malware ukierunkowanego na środowiska cloud-native, które łączy funkcje stealera, robaka sieciowego i narzędzia do ruchu bocznego. Najgroźniejszym elementem tej kampanii nie jest pojedyncza podatność, ale zdolność do automatycznego przechodzenia między hostami, usługami i warstwami infrastruktury.
Dla zespołów bezpieczeństwa to sygnał, że ochrona chmury nie może ograniczać się do łatania CVE. Konieczne jest równoczesne zabezpieczenie tożsamości, sekretów, konfiguracji, powierzchni ataku i monitoringu zachowań post-exploitation, ponieważ dopiero takie podejście ogranicza ryzyko pełnej kompromitacji środowiska.