Hasty Briefsbeta

双语

FBI: TeamPCP Compromised Dev Tools to Steal Cloud Credentials

6 days ago
  • #Credential Theft
  • #Software Supply Chain Attack
  • #FBI Alert
  • 美国联邦调查局(FBI)于2026年7月2日发布了一份关于TeamPCP犯罪集团的FLASH警报,详细介绍了其针对开发和安全工具的大规模软件供应链攻击,目的是窃取凭证。
  • TeamPCP通过向合法软件包中注入恶意代码,入侵了包括Trivy、KICS、LiteLLM和Telnyx Python SDK在内的工具,这些恶意软件包随后通过正常渠道分发,并被拉入CI/CD管道。
  • 该组织部署了四个恶意软件家族:CanisterWorm、SANDCLOCK、Mini Shai-Hulud和Miasma,窃取云令牌、API密钥、Kubernetes密钥和加密货币数据,其中蠕虫在npm和PyPI注册表中自主传播。
  • 攻击方法包括利用过期的恢复电子邮件域名劫持npm维护者账户,使用密码重置发布恶意软件包版本。
  • FBI警告称,被窃取的凭证和数据已永久受损,可能会在未来的攻击中被重复使用,即使距离初始入侵已过去很长时间,且威胁行为者之间可能进行勒索和协作。
  • 建议措施包括将GitHub Actions固定到已验证的SHA哈希值、轮换CI/CD密钥、执行最小权限原则、要求具备防钓鱼功能的多因素认证(MFA),并审核npm账户中过期的恢复电子邮件。
  • 相关指标包括四个CVE漏洞、六个IP地址、27个文件哈希值以及像checkmarx[.]zone这样的域名,受影响的组织被建议向FBI或IC3报告事件,并保留日志和证据。