PCPJack
A SentinelOne a PCPJack egy új, Python-alapú cloud worm és credential theft framework, amely nagyméretű felhő- és konténerkörnyezeteket támad, miközben aktívan eltávolítja a rivális TeamPCP infrastruktúráját a kompromittált rendszerekről.
A malware Linux-alapú cloud rendszereket céloz, különösen Docker, Kubernetes, Redis, MongoDB, RayML és sérülékeny webalkalmazások környezetét. A fertőzés egy bootstrap.sh shell scriptből indul, amely előkészíti a környezetet, Python virtual environmentet hoz létre, letölti a további modulokat, perzisztenciát alakít ki, majd elindítja a fő orchestration komponenst.
A PCPJack legszokatlanabb tulajdonsága az úgynevezett eviction mechanizmus: a malware kifejezetten TeamPCP-hez köthető processzeket, konténereket, systemd service-eket és persistence artefaktumokat keres, majd eltávolítja őket, gyakorlatilag átvéve a kompromittált infrastruktúrát. A SentinelLabs szerint ez arra utalhat, hogy az operátor korábban maga is kapcsolatban állt a TeamPCP műveletekkel, és jól ismeri azok toolingját és működését.
A malware elsődleges célja nem cryptomining, hanem nagy volumenű credential harvesting. A framework AWS, Azure, Google Cloud, GitHub, Docker, Kubernetes service accountok, SSH kulcsok, Slack tokenek, OpenAI és Anthropic API kulcsok, WordPress konfigurációk, Discord credentialek és kriptotárca-adatok megszerzésére fókuszál. Az ellopott adatokat X25519 + ChaCha20-Poly1305 kombinációval titkosítják, majd Telegram-alapú C2 csatornán exfiltrálják.
A worm laterális mozgásra és önterjesztésre is képes. A monitor.py komponens több ismert sérülékenységet használ ki – például Next.js auth bypass, React2Shell és WordPress plugin hibákat –, miközben nyitott Docker, Kubernetes, Redis és MongoDB szolgáltatásokat keres. A célpontlistákat részben a Common Crawl parquet adatbázisaiból építi fel, így kevésbé zajos és nehezebben észlelhető scanning modellt használ.
