ФБР попереджає розробників про атаки на ланцюжок поставок програмного забезпечення TeamPCP

FBI застерігає про кібератаку на ланцюг постачання програмного забезпечення від TeamPCP

Федеральне бюро розслідувань США повідомляє про активну діяльність групи хакерів TeamPCP, яка здійснює атаки на ланцюг постачання програмного забезпечення, орієнтуючись на інструменти для розробників та засоби безпеки, використовувані в корпоративних середовищах. Ці атаки, що відбулися в 2026 році, включають впровадження шкідливого коду у легітимні пакети програм, що використовуються для доставки зловмисного ПЗ, здатного красти паролі та створювати постійні бекдори в середовищах розробки та успадкованих системах.

Цільові інструменти та вплив на безпеку

Серед уражених інструментів знаходяться Trivy, KICS, LiteLLM і Telnyx Python SDK. Trivy використовується для сканування репозиторіїв, контейнерних зображень, бінарних артефактів, кластерів Kubernetes і файлів Infrastructure as Code на наявність вразливостей. KICS є програмою для статичного аналізу з відкритим кодом, використовуваною для перевірки кодового інструменту інфраструктури. LiteLLM забезпечує можливість роботи з декількома провайдерами великих мовних моделей через єдиний API, тоді як Telnyx Python SDK дозволяє застосування Telnyx REST API з Python 3.8 та пізнішими версіями.

Методи атаки та наслідки

Команда TeamPCP вносила зміни в компоненти програмного забезпечення та залежності розробки для впровадження троянських оновлень, які, на перший погляд, здавалися звичайними, проте встановлювали шкідливі програми для крадіжки облікових даних та бекдори. Отримані дані використовувалися для витягу хмарних токенів доступу, SSH-ключів, секретів Kubernetes, API-ключів та інших даних аутентифікації. Жертви атаки включали компанії, що працюють з сервісами AWS, Google Cloud Platform та Microsoft Azure.

Захист і рекомендації для організацій

ФБР рекомендує компаніям, які підозрюють проникнення TeamPCP, звертатися до місцевих офісів ФБР або подавати звіти до Інтернету центру скарг на злочини. Організаціям слід зберігати назви та версії уражених пакетів, журнали CI/CD, а також можливі комунікації з вимогами викупу. Особливо важливо замінювати секрети CI/CD, токени для публікацій та хмарні облікові дані, які могли піддатися компрометації. Також варто звернути увагу на обмеження дозволів для відкритого доступу GitHub і ротації ключових активів в CI/CD середовищах.

ФБР закликає адміністраторам систем запровадити перевірку підвищених дозволів, ввести багатофакторну автентифікацію з підвищеною стійкістю до фішингу та запровадити мінімальний вік пакету, наприклад, сім днів, для зменшення ризику встановлення шкідливих версій. Організації повинні шукати репозиторії “tpcp-docs” або “docs-tpcp”, створені черв’яком за допомогою вкрадених облікових даних.

Для покращення безпеки ПЗ ФБР радить використовувати автоматичні перевірки цілісності, такі як хеши та підписи, перед публікацією або розгортанням артефактів, а також підтримувати контрольовані сховища артефактів, моніторинг для несанкціонованих змін та ведення інвентаря підключень сторонніх сервісів до CI/CD конвеєрів.