🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova estrutura de malware chamada PCPJack está roubando credenciais de infraestrutura de nuvem exposta enquanto remove ativamente o acesso do TeamPCP aos sistemas.
Entre os serviços direcionados estão Docker, Kubernetes, Redis, MongoDB, RayML e aplicações web vulneráveis. Em muitos casos, o agente da ameaça move-se lateralmente na rede.
Os pesquisadores do SentinelLabs dizem que o PCPJack parece projetado para roubo de credenciais em grande escala e provavelmente monetiza sua atividade por meio de fraude financeira, operações de spam, revenda de credenciais ou extorsão.
TeamPCP é um grupo de ameaças focado na nuvem, conhecido por violações de alto perfil na cadeia de suprimentos contra o scanner Trivy da Aqua Security, os pacotes LiteLMM e Telnyx PyPI e, mais recentemente, os pacotes SAP npm.
Devido às semelhanças com os ataques do TeamPCP, o SentinelLabs acredita que o PCPJack pode ter sido desenvolvido por um ex-afiliado ou membro do TeamPCP que iniciou sua própria operação.
“Muitos dos serviços visados pela estrutura PCPJack são semelhantes às primeiras campanhas TeamPCP/PCPCat de dezembro de 2025, antes das campanhas de alta visibilidade do início de 2026 trazerem atenção significativa ao TeamPCP e supostamente levarem a mudanças na adesão ao grupo”, explicam os pesquisadores.
“Acreditamos que este poderia ser um ex-operador que está profundamente familiarizado com as ferramentas do grupo.”
Em um relatório hoje, o SentinelLabs diz que o PCPJack infecta sistemas em nuvem baseados em Linux usando um script de shell chamado bootstrap.sh.
Após a execução, ele cria um diretório de trabalho oculto, instala dependências do Python, baixa módulos adicionais, estabelece persistência e inicia o orquestrador principal (monitor.py).
Durante este estágio inicial, o PCPJack verifica explicitamente as ferramentas do TeamPCP e tenta excluir tudo, reivindicando assim o comprometimento para si.
Os pesquisadores afirmam que a atividade de limpeza inclui a remoção de processos, serviços, contêineres, arquivos e artefatos de persistência do TeamPCP, eliminando completamente as infecções.
Removendo artefatos do TeamPCPFonte: SentinelLabs
Os recursos do PCPJack giram principalmente em torno de roubo de credenciais, visando ambientes de nuvem, sistemas de desenvolvedores, aplicativos de mensagens, serviços financeiros, bancos de dados, chaves SSH, tokens Slack, configurações de WordPress, chaves OpenAI, chaves antrópicas, Discord, DigitalOcean e muito mais.
As credenciais são exfiltradas para canais do Telegram depois de serem criptografadas usando X25519 ECDH e ChaCha20-Poly1305, e divididas em pedaços de 2.800 bytes respeitando os limites de caracteres da mensagem do Telegram.
Serviços alvo de ataques PCPJackFonte: SentinelLabs
O PCPJack se propaga verificando a infraestrutura de nuvem externa em busca de serviços expostos, como Docker, Kubernetes, Redis, MongoDB e RayML, e depois tenta explorar vulnerabilidades conhecidas para obter acesso.
Ele também baixa dados de nome de host de arquivos parquet de rastreamento comum e os usa como novos alvos para o processo de verificação de alvos.
Os pesquisadores do SentinelLabs observam que o PCPJack está explorando as seguintes vulnerabilidades:
CVE-2025-29927: desvio de autenticação no middleware Next.js por meio de cabeçalho criado
CVE-2025-55182 (“React2Shell”): falha de desserialização de ações do servidor em React e Next.js
CVE-2026-1357: upload de arquivo não autenticado no WPVivid Backup
CVE-2025-9501: Injeção de PHP no W3 Total Cache via comentário mfunc em cache
CVE-2025-48703: injeção de shell na funcionalidade CentOS Web Panel Filemanager changePerm
Dentro de ambientes comprometidos, o malware realiza movimentos laterais coletando chaves e credenciais SSH, enumerando clusters Kubernetes e daemons Docker e executando-se em hosts internos acessíveis.
Uma vez obtido o acesso, ele estabelece persistência usando serviços systemd, tarefas cron, reescritas cron Redis ou contêineres privilegiados antes de continuar a propagação.
O SentinelLabs também encontrou um backdoor baseado em Sliver na infraestrutura do agente da ameaça, com variantes para oferecer suporte às arquiteturas de sistema x86_64, x86 e ARM.
Para mitigar esse risco, os pesquisadores recomendam impor a autenticação multifator (MFA), usando IMDSv2 na AWS, garantindo autenticação adequada para serviços Docker e Kubernetes, seguindo princípios de privilégio mínimo e evitando armazenar segredos em texto simples.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Entre os serviços direcionados estão Docker, Kubernetes, Redis, MongoDB, RayML e aplicações web vulneráveis. Em muitos casos, o agente da ameaça move-se lateralmente na rede.
Os pesquisadores do SentinelLabs dizem que o PCPJack parece projetado para roubo de credenciais em grande escala e provavelmente monetiza sua atividade por meio de fraude financeira, operações de spam, revenda de credenciais ou extorsão.
TeamPCP é um grupo de ameaças focado na nuvem, conhecido por violações de alto perfil na cadeia de suprimentos contra o scanner Trivy da Aqua Security, os pacotes LiteLMM e Telnyx PyPI e, mais recentemente, os pacotes SAP npm.
Devido às semelhanças com os ataques do TeamPCP, o SentinelLabs acredita que o PCPJack pode ter sido desenvolvido por um ex-afiliado ou membro do TeamPCP que iniciou sua própria operação.
“Muitos dos serviços visados pela estrutura PCPJack são semelhantes às primeiras campanhas TeamPCP/PCPCat de dezembro de 2025, antes das campanhas de alta visibilidade do início de 2026 trazerem atenção significativa ao TeamPCP e supostamente levarem a mudanças na adesão ao grupo”, explicam os pesquisadores.
“Acreditamos que este poderia ser um ex-operador que está profundamente familiarizado com as ferramentas do grupo.”
Em um relatório hoje, o SentinelLabs diz que o PCPJack infecta sistemas em nuvem baseados em Linux usando um script de shell chamado bootstrap.sh.
Após a execução, ele cria um diretório de trabalho oculto, instala dependências do Python, baixa módulos adicionais, estabelece persistência e inicia o orquestrador principal (monitor.py).
Durante este estágio inicial, o PCPJack verifica explicitamente as ferramentas do TeamPCP e tenta excluir tudo, reivindicando assim o comprometimento para si.
Os pesquisadores afirmam que a atividade de limpeza inclui a remoção de processos, serviços, contêineres, arquivos e artefatos de persistência do TeamPCP, eliminando completamente as infecções.
Removendo artefatos do TeamPCPFonte: SentinelLabs
Os recursos do PCPJack giram principalmente em torno de roubo de credenciais, visando ambientes de nuvem, sistemas de desenvolvedores, aplicativos de mensagens, serviços financeiros, bancos de dados, chaves SSH, tokens Slack, configurações de WordPress, chaves OpenAI, chaves antrópicas, Discord, DigitalOcean e muito mais.
As credenciais são exfiltradas para canais do Telegram depois de serem criptografadas usando X25519 ECDH e ChaCha20-Poly1305, e divididas em pedaços de 2.800 bytes respeitando os limites de caracteres da mensagem do Telegram.
Serviços alvo de ataques PCPJackFonte: SentinelLabs
O PCPJack se propaga verificando a infraestrutura de nuvem externa em busca de serviços expostos, como Docker, Kubernetes, Redis, MongoDB e RayML, e depois tenta explorar vulnerabilidades conhecidas para obter acesso.
Ele também baixa dados de nome de host de arquivos parquet de rastreamento comum e os usa como novos alvos para o processo de verificação de alvos.
Os pesquisadores do SentinelLabs observam que o PCPJack está explorando as seguintes vulnerabilidades:
CVE-2025-29927: desvio de autenticação no middleware Next.js por meio de cabeçalho criado
CVE-2025-55182 (“React2Shell”): falha de desserialização de ações do servidor em React e Next.js
CVE-2026-1357: upload de arquivo não autenticado no WPVivid Backup
CVE-2025-9501: Injeção de PHP no W3 Total Cache via comentário mfunc em cache
CVE-2025-48703: injeção de shell na funcionalidade CentOS Web Panel Filemanager changePerm
Dentro de ambientes comprometidos, o malware realiza movimentos laterais coletando chaves e credenciais SSH, enumerando clusters Kubernetes e daemons Docker e executando-se em hosts internos acessíveis.
Uma vez obtido o acesso, ele estabelece persistência usando serviços systemd, tarefas cron, reescritas cron Redis ou contêineres privilegiados antes de continuar a propagação.
O SentinelLabs também encontrou um backdoor baseado em Sliver na infraestrutura do agente da ameaça, com variantes para oferecer suporte às arquiteturas de sistema x86_64, x86 e ARM.
Para mitigar esse risco, os pesquisadores recomendam impor a autenticação multifator (MFA), usando IMDSv2 na AWS, garantindo autenticação adequada para serviços Docker e Kubernetes, seguindo princípios de privilégio mínimo e evitando armazenar segredos em texto simples.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #novo #worm #pcpjack #rouba #credenciais #e #limpa #infecções #do #teampcp
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário