FBI: TeamPCP Compromised Dev Tools to Steal Cloud Credentials
6 days ago
- #Credential Theft
- #Software Supply Chain Attack
- #FBI Alert
- 美国联邦调查局(FBI)于2026年7月2日发布了一份关于TeamPCP犯罪集团的FLASH警报,详细介绍了其针对开发和安全工具的大规模软件供应链攻击,目的是窃取凭证。
- TeamPCP通过向合法软件包中注入恶意代码,入侵了包括Trivy、KICS、LiteLLM和Telnyx Python SDK在内的工具,这些恶意软件包随后通过正常渠道分发,并被拉入CI/CD管道。
- 该组织部署了四个恶意软件家族:CanisterWorm、SANDCLOCK、Mini Shai-Hulud和Miasma,窃取云令牌、API密钥、Kubernetes密钥和加密货币数据,其中蠕虫在npm和PyPI注册表中自主传播。
- 攻击方法包括利用过期的恢复电子邮件域名劫持npm维护者账户,使用密码重置发布恶意软件包版本。
- FBI警告称,被窃取的凭证和数据已永久受损,可能会在未来的攻击中被重复使用,即使距离初始入侵已过去很长时间,且威胁行为者之间可能进行勒索和协作。
- 建议措施包括将GitHub Actions固定到已验证的SHA哈希值、轮换CI/CD密钥、执行最小权限原则、要求具备防钓鱼功能的多因素认证(MFA),并审核npm账户中过期的恢复电子邮件。
- 相关指标包括四个CVE漏洞、六个IP地址、27个文件哈希值以及像checkmarx[.]zone这样的域名,受影响的组织被建议向FBI或IC3报告事件,并保留日志和证据。