新型PCPJack蠕虫窃取凭证,清除TeamPCP感染

admin
admin
admin
0
文章
0
评论
2026-05-11 09:27:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 新型pcpjack蠕虫框架通过暴露的云基础设施窃取凭证,并主动清除teampcp感染。该恶意软件针对Docker、Kubernetes、Redis等服务,利用多个已知漏洞传播,通过加密方式将窃取的凭证泄露到Telegram频道,并利用Sliver后门建立持久性。建议采取多因素认证、最小权限原则等措施防范风险。 综合评分: 90 文章分类: 恶意软件,威胁情报,漏洞分析,云安全,应用安全

cover_image

新型 PCPJack 蠕虫窃取凭证,清除 TeamPCP 感染

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月8日 12:15 北京

在小说阅读器读本章

去阅读

一种名为 PCPJack 的新型恶意软件框架正在从暴露的云基础设施中窃取凭据,同时主动移除 TeamPCP 对系统的访问权限。

此次攻击的目标服务包括 Docker、Kubernetes、Redis、MongoDB、RayML 以及存在漏洞的 Web 应用程序。在许多情况下,攻击者会在网络中横向移动。

SentinelLabs 的研究人员表示,PCPJack 似乎旨在大规模窃取凭证,并可能通过金融欺诈、垃圾邮件活动、凭证转售或勒索来牟利。

TeamPCP 是一个专注于云的威胁组织,以针对Aqua Security 的 Trivy扫描器、LiteLMM和Telnyx PyPI 包以及最近的SAP npm 包的高调供应链入侵而闻名。

由于与 TeamPCP 攻击的相似性,SentinelLabs 认为 PCPJack 可能是由 TeamPCP 的前附属机构或成员开发的,他们后来开始了自己的事情。

研究人员解释说: “PCPJack 框架针对的许多服务与 2025 年 12 月的早期 TeamPCP/PCPCat 活动类似,而 2026 年初的高知名度活动使 TeamPCP 受到广泛关注,并据称导致了该组织成员的变化。”

“我们认为这可能是一位对该集团的工具非常熟悉的资深操作员。”

SentinelLabs 在今天的一份报告中称,PCPJack 使用名为 bootstrap.sh 的 shell 脚本感染基于 Linux 的云系统。

执行时,它会创建一个隐藏的工作目录,安装 Python 依赖项,下载其他模块,建立持久性,并启动主编排程序 (monitor.py)。

在初始阶段,PCPJack 会明确检查 TeamPCP 工具,并尝试删除所有内容,从而声称自己获得了入侵权。

研究人员表示,清理活动包括删除 TeamPCP 进程、服务、容器、文件和持久性工件,从而彻底消除感染。

PCPJack 的功能主要围绕凭证窃取展开,目标是云环境、开发者系统、即时通讯应用、金融服务、数据库、SSH 密钥、Slack 令牌、WordPress 配置、OpenAI 密钥、Anthropic 密钥、Discord、DigitalOcean 等等。

凭证在使用 X25519 ECDH 和 ChaCha20-Poly1305 加密后被泄露到 Telegram 频道,并被分割成 2800 字节的块,以符合 Telegram 的消息字符限制。

PCPJack 通过扫描外部云基础设施,查找暴露的服务(例如 Docker、Kubernetes、Redis、MongoDB 和 RayML),然后尝试利用已知的漏洞来获取访问权限。

它还会从 Common Crawl parquet 文件中下载主机名数据,并将其用作扫描过程的新目标。

SentinelLabs 的研究人员指出,PCPJack 正在利用以下漏洞:

  • CVE-2025-29927:通过精心构造的标头绕过 Next.js 中间件中的身份验证
  • CVE-2025-55182(“ React2Shell ”):React 和 Next.js 中的服务器操作反序列化漏洞
  • CVE-2026-1357:WPVivid Backup 中存在未经身份验证的文件上传漏洞
  • CVE-2025-9501:W3 Total Cache 中通过缓存的 mfunc 注释注入 PHP 漏洞
  • CVE-2025-48703:CentOS Web 面板文件管理器 changePerm 功能中的 shell 注入漏洞

在被入侵的环境中,恶意软件通过收集 SSH 密钥和凭据、枚举 Kubernetes 集群和 Docker 守护程序以及在可访问的内部主机上执行自身来执行横向移动。

一旦获得访问权限,它会使用 systemd 服务、cron 作业、Redis cron 重写或特权容器来建立持久性,然后再继续传播。

SentinelLabs 还在威胁行为者的基础设施上发现了一个基于Sliver的后门,该后门有多种变体,可支持 x86_64、x86 和 ARM 系统架构。

为了降低这种风险,研究人员建议强制执行多因素身份验证 (MFA),在 AWS 中使用 IMDSv2,确保 Docker 和 Kubernetes 服务的正确身份验证,遵循最小权限原则,并避免以明文形式存储密钥。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《新型 PCPJack 蠕虫窃取凭证,清除 TeamPCP 感染》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0