Основы Интернет - технологий.

Новый Linux-червь PCPJack атакует облачную инфраструктуру, ворует учетные данные и одновременно «зачищает» системы от другой малвари — инструментов группировки TeamPCP. Исследователи SentinelLabs полагают, что за этой кампанией может стоять бывший участник TeamPCP, хорошо знакомый с внутренним устройством группы и ее инструментами. Как пишут аналитики, PCPJack активен как минимум с конца апреля 2026 года и ориентирован на масштабный сбор секретов из облачных сред и инфраструктуры разработчиков. В списке целей — Docker, Kubernetes, Redis, MongoDB, RayML, сайты под управлением WordPress и уязвимые веб-приложения. После взлома вредонос пытается закрепиться в системе, перемещается по сети и заражает другие хосты. Атака начинается с шелл-скрипта bootstrap.sh, который создает скрытую рабочую директорию, загружает дополнительные модули и запускает основной компонент — monitor.py. Также перед этим PCPJack проверяет систему на наличие следов TeamPCP и удаляет все связанное с группой: процессы, контейнеры, сервисы, файлы и механизмы закрепления. Исследователи считают, что это не случайность. По их словам, цели и тактики PCPJack почти полностью совпадает с ранними кампаниями TeamPCP и PCPCat конца 2025 года — еще до того, как серия громких атак на цепочку поставок привлекла к группировке всеобщее внимание и, вероятно, привела к внутреннему расколу. Основная задача PCPJack — кража учетных данных. Малварь собирает .env-файлы, SSH-ключи, токены Slack, конфигурации WordPress, данные Docker и Kubernetes, а также секреты для OpenAI, Anthropic, Discord, DigitalOcean, Gmail, GitHub, Office 365 и ряда других сервисов. Кроме того, вредонос интересуется криптокошельками и корпоративными базами данных. Украденные данные шифруются с помощью X25519 ECDH и ChaCha20-Poly1305, после чего отправляются в Telegram небольшими фрагментами (ради соблюдения ограничений длины сообщений в мессенджере). Для распространения PCPJack сканирует интернет в поисках открытых Docker-, Kubernetes-, Redis- и MongoDB-инстансов, а также загружает списки доменов из Common Crawl. Затем червь пытается эксплуатировать такие известные баги, как: CVE-2025-29927 в Next.js; CVE-2025-55182 (React2Shell); CVE-2026-1357 в WPvivid Backup; CVE-2025-9501 в W3 Total Cache; CVE-2025-48703 в CentOS Web Panel. После компрометации PCPJack собирает SSH-ключи и учетные данные, исследует Kubernetes-кластеры и Docker-демоны, а затем использует их для бокового перемещения внутри сети жертвы. Для закрепления применяются systemd-сервисы, cron-задачи, Redis cron rewrites и привилегированные контейнеры. Во время расследования специалисты также нашли связанную с атакующими инфраструктуру на базе Sliver — популярного фреймворка для постэксплуатации. Аналитики отмечают, что оба набора инструментов выглядят хорошо проработанными и модульными, хотя операторы малвари допускают странные OPSEC-промахи. К примеру, они шифруют почти весь трафик, но оставляют без дополнительной защиты секреты для Telegram и собственную инфраструктуру. По мнению исследователей, в дальнейшем украденные секреты могут использоваться для спам-кампаний, финансового мошенничества, перепродажи доступов и вымогательства.