Dos flujos de trabajo más de GitHub Actions se convirtieron en las últimas vulnerabilidades comprometidas por malware de robo de credenciales por parte de un actor de amenazas conocido como TeamPCP, la operación de cibercrimen nativa de la nube que también estuvo detrás del ataque a la cadena de suministro de Trivy.
Ambos flujos de trabajo son mantenidos por la empresa de seguridad de la cadena de suministro Checkmarx y se enumeran a continuación.
La empresa de seguridad en la nube Sysdig anunció que observó el mismo ladrón de credenciales utilizado en la operación de TeamPCP dirigida al escáner de vulnerabilidades Trivy de Aqua Security y las acciones de GitHub relacionadas aproximadamente cuatro días después de la infracción del 19 de marzo de 2026. La infracción de la cadena de suministro de Try se rastrea con el identificador CVE CVE-2026-33634 (puntuación CVSS: 9,4).
«Esto sugiere que las credenciales robadas en la violación de Trivy se utilizaron para envenenar acciones adicionales en los repositorios afectados», dijo Sysdig.
Apodado el «ladrón de nubes TeamPCP», el ladrón está diseñado para robar credenciales y secretos relacionados con claves SSH, Git, Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Kubernetes, Docker, archivos .env, bases de datos y VPN, así como configuraciones de CI/CD, datos de billeteras de criptomonedas y URL de webhook de Slack y Discord.
Al igual que con Trivy, se ha descubierto que los actores de amenazas insertan con fuerza etiquetas en confirmaciones maliciosas que contienen cargas útiles de ladrones (‘setup.sh’). Los datos robados se filtran en forma de un archivo cifrado (‘tpcp.tar.gz’) al dominio ‘checkmarx(.)zone’ (dirección IP: 83.142.209(.)11:443).
La nueva versión utiliza el GITHUB_TOKEN de la víctima para crear un repositorio «docs-tpcp» para almacenar los datos robados como método de respaldo en caso de que falle la filtración del servidor. En el incidente de Trivy, los atacantes utilizaron en su lugar el nombre del repositorio «tpcp-docs».
«El uso de dominios typosquat específicos del proveedor para cada acción envenenada es una técnica de engaño intencional», dijo Sysdig. «Los analistas que revisan los registros de CI/CD verán tráfico curvado hacia lo que parece ser el dominio del propio proveedor de la acción, lo que hace que sea menos probable que se detecte manualmente».
La función principal del ladrón es recopilar credenciales de la memoria del corredor de CI, lo que permite a los operadores extraer tokens de acceso personal (PAT) de GitHub y otros secretos cuando se ejecuta una acción Trivy comprometida en un flujo de trabajo. Peor aún, si estos tokens tienen acceso de escritura a un repositorio que utiliza la acción Checkmarx, un atacante podría utilizarlos como arma para enviar código malicioso.
Esto abre la puerta a compromisos en cascada en la cadena de suministro, donde una acción contaminada obtiene secretos que pueden usarse para facilitar la contaminación de otras acciones.
«La misma carga útil, método de cifrado y convención de nomenclatura para tpcp.tar.gz confirman que se trata del mismo actor que amplía su alcance más allá del compromiso inicial de Trivy», señala Sysdig. «La revisión del código y el escaneo de dependencias fallaron porque se inyectó código malicioso en una acción de fuente confiable».
Según Wiz, el ataque parece haberse llevado a cabo comprometiendo la cuenta de servicio «cx-plugins-releases», y los atacantes también publicaron versiones troyanizadas de las extensiones Open VSX «ast-results» (versión 2.53.0) y «cx-dev-assist» (versión 1.7.0). Las versiones de VS Code Marketplace no se ven afectadas.
Una vez activada la extensión, la carga maliciosa comprueba si la víctima tiene credenciales para al menos un proveedor de servicios en la nube, como GitHub, AWS, Google Cloud o Microsoft Azure. Si se encuentran las credenciales, continúe con la siguiente etapa para recuperar la carga útil del mismo dominio (‘checkmarx(.)zone’).
Los investigadores de Wiz, Rami McCarthy, James Haughom y Benjamin Read dijeron: «La carga útil intenta ejecutarse a través de npx, bunx, pnpx o Yarn dlx. Esto cubre los principales administradores de paquetes de JavaScript». «El paquete recuperado contiene un completo ladrón de credenciales. Las credenciales recolectadas se cifran usando una clave como en otras partes de esta campaña y se filtran a ‘checkmarx(.)zone/vsx’ como tpcp.tar.gz».
«En sistemas que no son CI, el malware instala la persistencia a través del servicio de usuario systemd. El script de persistencia sondea https://checkmarx(.)zone/raw cada 50 minutos en busca de cargas útiles adicionales y tiene un interruptor de apagado que se cancela si la respuesta contiene ‘youtube’. El enlace ahora redirige a The Show Must Go On de Queen. «
Para mitigar la amenaza, recomendamos que los usuarios tomen las siguientes acciones de inmediato:
Rote todos los secretos, tokens y credenciales de la nube a los que los corredores de CI tuvieron acceso durante el período afectado. Los flujos de trabajo de GitHub Actions se ejecutan para referencias a la zona tpcp.tar.gz, scan.aquasecurity(.)org o checkmarx(.)en el registro del ejecutor. Busque en su organización de GitHub un repositorio llamado «tpcp-docs» o «docs-tpcp». Esto indica una extracción exitosa con un mecanismo de respaldo. Fije acciones de GitHub para confirmar SHA por completo en lugar de etiquetas de versión, ya que las etiquetas se pueden forzar. Supervise las conexiones de red salientes desde el ejecutor de CI a dominios sospechosos. Utilice IMDSv2 para restringir el Servicio de metadatos de instancia (IMDS) del contenedor del ejecutor de CI.
En los días posteriores a la infracción inicial, los atacantes de TeamPCP publicaron una imagen Docker maliciosa de Trivy que contenía el mismo ladrón, se apoderaron de la organización GitHub «aquasec-com» de la empresa y modificaron docenas de repositorios internos.
También se ha observado que apunta a clústeres de Kubernetes con un script de shell malicioso que borra todas las máquinas cuando detecta sistemas que coinciden con las zonas horarias y locales iraníes, lo que destaca una nueva expansión en el modus operandi del grupo.
Source link
