Novo Worm PCPJack Rouba Segredos e Remove Malware da TeamPCP
Um novo worm Linux, chamado PCPJack, está atacando infraestruturas em nuvem, roubando credenciais e removendo malware da TeamPCP. Analistas acreditam que o ataque pode ser orquestrado por um ex-membro da TeamPCP, familiarizado com as ferramentas e táticas do grupo.
MundiX News·14 de maio de 2026·3 min de leitura·👁 3 views
Novo Worm PCPJack Rouba Segredos e Remove Malware da TeamPCP
Um novo worm Linux, denominado PCPJack, está atacando infraestruturas em nuvem, roubando credenciais e simultaneamente "limpando" sistemas de outros malwares – ferramentas do grupo TeamPCP. Pesquisadores da SentinelLabs acreditam que essa campanha pode ser orquestrada por um ex-membro da TeamPCP, que está bem familiarizado com o funcionamento interno do grupo e suas ferramentas.
De acordo com os analistas, o PCPJack está ativo desde pelo menos o final de abril de 2026 e visa a coleta em larga escala de segredos de ambientes em nuvem e infraestruturas de desenvolvedores. A lista de alvos inclui Docker, Kubernetes, Redis, MongoDB, RayML, sites rodando WordPress e aplicações web vulneráveis. Após a invasão, o malware tenta se estabelecer no sistema, se move pela rede e infecta outros hosts. Ataques de supply chain (cadeia de suprimentos) podem ser uma das formas de infecção inicial.
Ataques começam com um script shell bootstrap.sh, que cria um diretório de trabalho oculto, baixa módulos adicionais e executa o componente principal, monitor.py. Antes disso, o PCPJack verifica o sistema em busca de rastros da TeamPCP e remove tudo relacionado ao grupo: processos, contêineres, serviços, arquivos e mecanismos de persistência. Os pesquisadores acreditam que isso não é coincidência. Segundo eles, os objetivos e táticas do PCPJack coincidem quase completamente com as campanhas anteriores da TeamPCP e PCPCat do final de 2025 – antes mesmo de uma série de ataques de alto perfil à cadeia de suprimentos atrair a atenção geral para o grupo e, presumivelmente, levar a uma divisão interna.
A principal tarefa do PCPJack é roubar credenciais. O malware coleta arquivos .env, chaves SSH, tokens do Slack, configurações do WordPress, dados do Docker e Kubernetes, bem como segredos para OpenAI, Anthropic, Discord, DigitalOcean, Gmail, GitHub, Office 365 e vários outros serviços. Além disso, o malware está interessado em carteiras de criptomoedas e bancos de dados corporativos. Os dados roubados são criptografados usando X25519 ECDH e ChaCha20-Poly1305, após o que são enviados para o Telegram em pequenos fragmentos (para cumprir as restrições de comprimento das mensagens no mensageiro). Para se espalhar, o PCPJack verifica a internet em busca de instâncias abertas do Docker, Kubernetes, Redis e MongoDB, além de baixar listas de domínios do Common Crawl. Em seguida, o worm tenta explorar bugs conhecidos, como:
CVE-2025-29927 no Next.js;
CVE-2025-55182 (React2Shell);
CVE-2026-1357 no WPvivid Backup;
CVE-2025-9501 no W3 Total Cache;
CVE-2025-48703 no CentOS Web Panel.
Após a comprometimento, o PCPJack coleta chaves SSH e credenciais, explora clusters Kubernetes e demônios Docker e, em seguida, os usa para movimentação lateral dentro da rede da vítima. Para persistência, são usados serviços systemd, tarefas cron, reescritas cron do Redis e contêineres privilegiados. Durante a investigação, especialistas também encontraram infraestrutura associada aos atacantes baseada em Sliver – uma estrutura popular para pós-exploração. Os analistas observam que ambos os conjuntos de ferramentas parecem bem projetados e modulares, embora os operadores de malware cometam estranhos erros de OPSEC. Por exemplo, eles criptografam quase todo o tráfego, mas deixam segredos para o Telegram e sua própria infraestrutura sem proteção adicional. Na opinião dos pesquisadores, os segredos roubados podem ser usados no futuro para campanhas de spam, fraudes financeiras, revenda de acessos e extorsão.
Novo Worm PCPJack Rouba Segredos e Remove Malware da TeamPCP
Um novo worm Linux, denominado PCPJack, está atacando infraestruturas em nuvem, roubando credenciais e simultaneamente "limpando" sistemas de outros malwares – ferramentas do grupo TeamPCP. Pesquisadores da SentinelLabs acreditam que essa campanha pode ser orquestrada por um ex-membro da TeamPCP, que está bem familiarizado com o funcionamento interno do grupo e suas ferramentas.
De acordo com os analistas, o PCPJack está ativo desde pelo menos o final de abril de 2026 e visa a coleta em larga escala de segredos de ambientes em nuvem e infraestruturas de desenvolvedores. A lista de alvos inclui Docker, Kubernetes, Redis, MongoDB, RayML, sites rodando WordPress e aplicações web vulneráveis. Após a invasão, o malware tenta se estabelecer no sistema, se move pela rede e infecta outros hosts. Ataques de supply chain (cadeia de suprimentos) podem ser uma das formas de infecção inicial.
Ataques começam com um script shell bootstrap.sh, que cria um diretório de trabalho oculto, baixa módulos adicionais e executa o componente principal, monitor.py. Antes disso, o PCPJack verifica o sistema em busca de rastros da TeamPCP e remove tudo relacionado ao grupo: processos, contêineres, serviços, arquivos e mecanismos de persistência. Os pesquisadores acreditam que isso não é coincidência. Segundo eles, os objetivos e táticas do PCPJack coincidem quase completamente com as campanhas anteriores da TeamPCP e PCPCat do final de 2025 – antes mesmo de uma série de ataques de alto perfil à cadeia de suprimentos atrair a atenção geral para o grupo e, presumivelmente, levar a uma divisão interna.
A principal tarefa do PCPJack é roubar credenciais. O malware coleta arquivos .env, chaves SSH, tokens do Slack, configurações do WordPress, dados do Docker e Kubernetes, bem como segredos para OpenAI, Anthropic, Discord, DigitalOcean, Gmail, GitHub, Office 365 e vários outros serviços. Além disso, o malware está interessado em carteiras de criptomoedas e bancos de dados corporativos. Os dados roubados são criptografados usando X25519 ECDH e ChaCha20-Poly1305, após o que são enviados para o Telegram em pequenos fragmentos (para cumprir as restrições de comprimento das mensagens no mensageiro). Para se espalhar, o PCPJack verifica a internet em busca de instâncias abertas do Docker, Kubernetes, Redis e MongoDB, além de baixar listas de domínios do Common Crawl. Em seguida, o worm tenta explorar bugs conhecidos, como:
CVE-2025-29927 no Next.js;
CVE-2025-55182 (React2Shell);
CVE-2026-1357 no WPvivid Backup;
CVE-2025-9501 no W3 Total Cache;
CVE-2025-48703 no CentOS Web Panel.
Após a comprometimento, o PCPJack coleta chaves SSH e credenciais, explora clusters Kubernetes e demônios Docker e, em seguida, os usa para movimentação lateral dentro da rede da vítima. Para persistência, são usados serviços systemd, tarefas cron, reescritas cron do Redis e contêineres privilegiados. Durante a investigação, especialistas também encontraram infraestrutura associada aos atacantes baseada em Sliver – uma estrutura popular para pós-exploração. Os analistas observam que ambos os conjuntos de ferramentas parecem bem projetados e modulares, embora os operadores de malware cometam estranhos erros de OPSEC. Por exemplo, eles criptografam quase todo o tráfego, mas deixam segredos para o Telegram e sua própria infraestrutura sem proteção adicional. Na opinião dos pesquisadores, os segredos roubados podem ser usados no futuro para campanhas de spam, fraudes financeiras, revenda de acessos e extorsão.
