Um novo surto de ataques à cadeia de suprimentos de software colocou desenvolvedores e equipes de segurança em alerta máximo. O grupo de ameaças por trás disso, conhecido como TeamPCP, tem sido silenciosamente inserindo código malicioso em ferramentas de desenvolvimento e segurança confiadas por empresas em todo o mundo.
O que mudou agora
O FBI emitiu um alerta sobre a campanha do TeamPCP, que comprometeu ferramentas de desenvolvimento amplamente utilizadas. O grupo explorou a confiança dos desenvolvedores para espalhar malware muito além de uma única empresa. Uma única atualização comprometida pode silenciosamente acompanhar milhares de sistemas downstream antes que alguém perceba algo errado.
Malware famílias por trás da campanha
O TeamPCP depende de um punhado de ferramentas personalizadas para realizar seus ataques. O CanisterWorm é construído para colher tokens de acesso à nuvem e chaves de API vinculadas a serviços como AWS, Google Cloud e Microsoft Azure, dando aos atacantes uma linha direta para contas na nuvem. O SANDCLOCK trabalha junto, puxando credenciais da AWS, tokens de ServiceAccount do Kubernetes, variáveis de ambiente locais e até dados de carteiras de criptomoedas de sistemas infectados.
Medidas de mitigação recomendadas
O FBI recomenda que as equipes fixem os fluxos de trabalho do GitHub Actions em hashes de commit verificados em vez de tags flutuantes e rotacionem todos os segredos de CI/CD e credenciais de nuvem que possam ter sido expostos. As equipes também devem procurar em suas organizações do GitHub por repositórios nomeados tpcp-docs ou docs-tpcp, já que estes são criados pelo verme usando credenciais roubadas.
Indicadores de comprometimento (IoCs)
Os indicadores de comprometimento incluem endereços IP associados à infraestrutura do TeamPCP, como 83.142.209.11 e 45.148.10.212. Domínios maliciosos incluem scan.aquasecurtiy[.]org e checkmarx[.]zone. Hashes de arquivos maliciosos também foram identificados e devem ser monitorados em plataformas de inteligência de ameaças.
O que os CISOs devem fazer imediatamente
As equipes de segurança devem tratar qualquer exposição desta campanha como uma ameaça contínua, não como um evento único. Mesmo após a limpeza, credenciais roubadas podem ressurgir meses depois nas mãos de outros grupos criminosos. A prioridade deve ser a rotação de segredos e a verificação de integridade das ferramentas de desenvolvimento.