Новый вредоносный фреймворк PCPJack атакует открытые облачные сервисы на Linux, крадёт учётные данные и закрепляется в инфраструктуре. По данным SentinelLabs, программа также ищет следы TeamPCP и удаляет их, фактически забирая уже взломанные системы под свой контроль.

Риск касается компаний, разработчиков и команд, которые держат Docker, Kubernetes, Redis, MongoDB и похожие сервисы доступными из интернета. Утечка ключей может привести к финансовому мошенничеству, спаму, перепродаже доступов или вымогательству.

Что известно о PCPJack

Исследователи SentinelLabs описывают PCPJack как набор вредоносных модулей для массовой кражи учётных данных в облачной среде. Атака начинается с shell-скрипта bootstrap.sh: он создаёт скрытую рабочую папку, ставит зависимости Python, скачивает дополнительные компоненты и запускает основной модуль monitor.py.

После запуска PCPJack проверяет систему на следы TeamPCP — другой облачной группировки, известной атаками на цепочки поставок. Вредоносный код удаляет её процессы, сервисы, контейнеры, файлы и механизмы автозапуска.

Такое поведение редко встречается у обычных троянов. Оно показывает, что злоумышленники борются не только с администраторами, но и с конкурентами за доступ к тем же серверам.

Какие сервисы попали под удар

PCPJack сканирует внешнюю облачную инфраструктуру и ищет открытые Docker, Kubernetes, Redis, MongoDB, RayML и уязвимые веб-приложения. Если система доступна без нормальной аутентификации или содержит известную брешь, вредоносная программа пытается получить доступ.

В списке уязвимостей, которые упоминают исследователи, есть ошибки в Next.js, React и Next.js Server Actions, WPVivid Backup, W3 Total Cache и CentOS Web Panel. Речь идёт о проблемах с обходом проверки, загрузкой файлов, инъекциями и выполнением команд. Технические детали эксплуатации здесь не нужны: для защитников важнее быстро понять, где стоит проверить обновления и настройки доступа.

Внутри сети PCPJack ищет SSH-ключи, переменные окружения, конфигурационные файлы, токены и пароли. Затем он двигается дальше: перечисляет кластеры Kubernetes, Docker-демоны и доступные внутренние узлы.

Похожий сценарий уже встречался в инцидентах с утечкой ключей API. Мы разбирали, почему секреты в памяти и конфигурациях опасны даже без прямого взлома аккаунта, в материале об уязвимости Ollama и риске утечки ключей API.

Почему атака опасна для разработчиков и бизнеса

Главная цель PCPJack — не порча файлов, а доступ. Вредоносный фреймворк собирает ключи облачных провайдеров, SSH-доступы, токены Slack, конфиги WordPress, ключи OpenAI и Anthropic, данные финансовых сервисов и баз данных.

Отдельно исследователи упоминают Discord. Для обычного пользователя слова вроде discord web вход часто значат только страницу авторизации в браузере, но для злоумышленников ценность имеют токены и сохранённые сессии. Если вредоносный код попал на рабочую машину разработчика, он может искать не только пароли, но и технические ключи, которые открывают доступ к проектам, чатам и облачным ресурсам.

Это особенно опасно для небольших команд. У них нередко один и тот же ноутбук служит для разработки, администрирования серверов и общения с подрядчиками. В такой схеме кража одного SSH-ключа или токена может потянуть за собой всю инфраструктуру.

Как PCPJack закрепляется и передаёт данные

После заражения PCPJack пытается пережить перезагрузку и чистку. Для этого он использует systemd-сервисы, задания cron, изменение cron через Redis или привилегированные контейнеры. Такой набор подходит для Linux-серверов, контейнерных сред и плохо изолированных облачных узлов.

Украденные данные вредоносная программа шифрует с помощью X25519 ECDH и ChaCha20-Poly1305, а затем разбивает на фрагменты по 2800 байт. Это нужно, чтобы передавать информацию через Telegram-каналы с учётом лимитов сообщений.

Для расширения списка целей PCPJack скачивает данные о доменных именах из файлов Common Crawl и использует их для нового сканирования. Так червь не ждёт, пока оператор вручную подберёт адреса: он сам ищет следующие системы.

Что показывает конфликт с TeamPCP

SentinelLabs допускает, что PCPJack мог создать бывший участник или партнёр TeamPCP. Основание — сходство целей и инструментов с ранними кампаниями TeamPCP, которые исследователи относят к декабрю 2025 года, ещё до более заметных атак начала 2026-го.

Для владельцев инфраструктуры эта деталь важна не как криминальная интрига, а как практический сигнал. Если сервер уже заражали раньше, новая вредоносная программа может использовать те же слабые места: открытые панели, старые образы, лишние права сервисных аккаунтов, ключи без ротации.

Смена бренда, поставщика или названия проекта тоже не спасает от путаницы в доступах и доверенных интеграциях. Об этом мы писали в разборе о том, как путаница в брендах бьёт по безопасности данных.

Что проверить прямо сейчас

  • Закройте публичный доступ к Docker, Kubernetes, Redis, MongoDB и похожим сервисам, если он не нужен для работы.
  • Проверьте, включена ли строгая аутентификация для панелей управления, API и внутренних сервисов.
  • Включите многофакторную аутентификацию для облачных аккаунтов, почты, репозиториев и рабочих мессенджеров.
  • Обновите Next.js, React, WordPress-плагины WPVivid Backup и W3 Total Cache, CentOS Web Panel и другие компоненты из зоны риска.
  • Пересмотрите права сервисных аккаунтов: каждому процессу нужны только те доступы, без которых он не работает.
  • Уберите секреты из открытого текста: не храните ключи в конфигурациях, репозиториях, заметках и общих чатах.
  • Проведите ротацию SSH-ключей, токенов облачных провайдеров, ключей API и паролей, если сервер мог быть доступен извне.
  • Проверьте systemd, cron, контейнеры и новые процессы на Linux-серверах: неизвестные задания автозапуска требуют отдельного разбора.
  • Для работы из кафе, аэропортов и гостиниц используйте сервис безопасного интернет-соединения, который помогает защитить соединение и приватность данных в публичных сетях.
  • Разделите личные и рабочие учётные записи. Даже если вы используете discord web version или другие веб-сервисы только для общения, не храните рядом с ними производственные ключи и доступы.
Поделиться: