# TeamPCP
网络安全公司SentinelOne发布报告称,一个未知黑客组织发起代号为“PCPJack”的攻击活动,专门针对已被知名网络犯罪团伙TeamPCP入侵的系统。该组织一旦入侵成功,立即清除TeamPCP的工具并驱逐其成员,随后利用系统权限在云基础设施中横向传播,窃取各类凭证,并将数据回传至其控制服务器。攻击者主要通过暴露的云服务(如Docker、MongoDB)获取入口,目标高度集中于TeamPCP相关系统。攻击动机以牟利为主,包括出售凭证、提供初始访问权限或直接勒索,但未安装加密货币挖矿软件。安全专家Alex Delamotte分析,攻击者可能是前TeamPCP成员、竞争对手或模仿其战术的...
2023年3月23日发生的Trivy供应链攻击事件持续发酵,安全公司Checkmarx与Bitwarden均受影响。Checkmarx确认其GitHub代码库数据遭泄露,攻击者通过初始供应链入侵获取权限,但未披露具体泄露内容。另一安全公司Socket指出,Bitwarden同样受此攻击波及,因攻击载荷使用相同C2服务器和基础设施。攻击由名为TeamPCP的黑客组织实施,该组织以售卖窃取的访问凭证着称,专攻具有高权限的工具。其出售的凭证被Lapsu$勒索软件团伙获取并用于后续攻击。此次事件凸显供应链攻击的连锁效应,安全工具本身成攻击目标及传播媒介,可能引发对客户和合作伙伴的进一步渗透。So...
Meta已暂停与数据外包公司Mercor的所有合作,以调查该公司遭遇的重大网络安全事件。该事件可能影响多个AI实验室,包括OpenAI和Anthropic,因其依赖Mercor生成专有训练数据。Mercor确认在3月31日遭遇安全攻击,攻击者疑似TeamPCP通过污染LiteLLM API工具传播恶意更新。尽管OpenAI未中止项目,但正在评估数据泄露范围。目前尚不清楚泄露数据是否会对竞争对手构成实质性威胁。Mercor员工及承包商被暂停工作,公司正寻找替代项目。多个数据外包公司如Surge、Labelbox等同样以高度保密着称,此次事件凸显AI产业链供应链安全风险。
欧盟网络安全机构CERT-EU发布报告称,近期针对欧盟执行机构欧洲委员会的网络攻击由黑客组织TeamPCP所为。攻击者通过窃取欧洲委员会用于亚马逊云服务(AWS)账户的密钥,获取约92GB压缩数据,包括姓名、邮箱及邮件内容。数据随后由另一黑客组织ShinyHunters公开发布。此次攻击源于欧洲委员会下载了受污染的开源安全工具Trivy,导致API密钥泄露。CERT-EU指出,至少29个其他欧盟实体及数十个内部客户可能受影响。约5.2万封邮件文件被泄露,部分可能包含用户原始提交内容,存在个人数据暴露风险。欧洲委员会目前暂未回应置评请求。
开源Python库LiteLLM被黑客组织TeamPCP篡改,恶意版本1.82.7和1.82.8在PyPI平台发布,用于窃取用户敏感数据。该库日下载量超340万次,本月累计下载量达9500万次,广泛用于连接多个大语言模型服务。安全机构Endor Labs发现,恶意版本部署了信息窃取程序,可收集凭证、授权令牌等。目前恶意版本已被移除,官方推荐1.82.6为安全版本。受影响用户被建议立即轮换所有密钥和凭证,并检查系统中的持久化文件及网络流量。
一个名为TeamPCP的黑客组织近期发起大规模网络攻击,利用自传播恶意软件感染开源工具,包括广泛使用的漏洞扫描器Trivy。攻击者通过入侵Aqua Security的GitHub账户,在Trivy多个版本中植入后门,实施供应链攻击。该恶意软件名为CanisterWorm,具备蠕虫功能,可自动传播。最新版本新增针对伊朗系统的擦除程序Kamikaze,感染时检测目标是否位于伊朗时区或配置为伊朗使用,一旦确认即触发数据擦除。目前暂无证据显示已造成实际破坏,但存在大规模影响风险。该组织此前以经济动机为主,现或转向提升知名度。
美国网络安全公司Aikido研究人员查理·埃里克森(Charlie Eriksen)披露,一种名为CanisterWorm的自传播恶意软件已从网络下架,该软件曾可感染开发者的CI/CD管道,通过npm包传播。恶意软件更新后新增了针对伊朗的擦除功能,名为Kamikaze,若设备位于伊朗时区或配置为伊朗使用,则触发系统擦除指令。该行为与TeamPCP此前以经济利益为目的的攻击模式不符,或意在提升组织曝光度。此次攻击源于2月底对Aqua Security的供应链入侵,导致Trivy漏洞扫描工具被篡改。目前尚未有证据显示实际造成伊朗系统损坏,但潜在影响巨大。
一个名为TeamPCP的网络犯罪团伙于2026年3月19日发动针对伊朗的定向数据擦除攻击,利用其开发的“CanisterWorm”蠕虫程序,通过暴露的云服务接口传播,对位于伊朗时区或系统语言设置为波斯语的设备执行数据清除。该团伙此前已通过供应链攻击侵入安全工具Trivy,窃取用户凭证。攻击利用互联网计算机协议(ICP)的去中心化容器部署恶意载荷,具有抗封锁特性。安全专家指出,此次攻击或为吸引关注的挑衅行为,目前尚无确凿证据证明已造成大规模数据破坏。