MalwareHackerangriffeCloud-Sicherheit

TeamPCP kapert GitHub Actions von Checkmarx – Gefährliche Kettenreaktion in der Supply Chain

TeamPCP kapert GitHub Actions von Checkmarx – Gefährliche Kettenreaktion in der Supply Chain
Zusammenfassung

Die Cyberkriminalgruppe TeamPCP hat erneut zugeschlagen und dieses Mal die GitHub Actions der Sicherheitsfirma Checkmarx kompromittiert. Dies geschah nur wenige Tage nach einem ähnlichen Angriff auf die Trivy-Plattform von Aqua Security, bei dem die Angreifer gestohlene Anmeldedaten ausnutzten, um weitere Ziele zu infizieren. Die neu entdeckte Malware, das „TeamPCP Cloud Stealer", ist darauf ausgelegt, eine beeindruckende Palette von Zugangsdaten zu stehlen – von SSH-Schlüsseln über Cloud-Provider-Credentials bis hin zu Datenbank-Passwörtern und Kryptowallet-Informationen. Die Bedrohung ist besonders tückisch, da sie eine kaskadierende Lieferketten-Kompromittierung ermöglicht: Gestohlene Anmeldedaten aus einem kompromittierten Dienst können genutzt werden, um weitere Systeme zu infiltrieren. Für deutsche Unternehmen, die auf GitHub-Actions und Cloud-Services bauen, ist dies ein erhebliches Risiko. Besonders betroffen sind Entwicklungs-Teams und DevOps-Abteilungen, die CI/CD-Pipelines nutzen. Auch deutsche Behörden, die auf moderne Software-Entwicklungspraktiken setzen, sollten wachsam sein. Der Angriff unterstreicht die kritische Notwendigkeit, Zugangstoken regelmäßig zu überprüfen und zu rotieren sowie Supply-Chain-Security ernstlich zu nehmen.

Die TeamPCP-Operation offenbart eine sophistizierte Angriffsmethodik, die weit über einzelne Kompromittierungen hinausgeht. Die sogenannte “TeamPCP Cloud Stealer”-Malware ist ein universeller Kredentialkleptomane, der gezielt nach sensiblen Daten fahndet: SSH-Schlüsseln, Git-Konfigurationen, AWS-, Google Cloud- und Azure-Tokens, Kubernetes-Geheimnissen, Docker-Authentifizierungsdaten, Umgebungsvariablen, Datenbank-Credentials, VPN-Einstellungen sowie CI/CD-Konfigurationen. Hinzu kommen Kryptowallet-Daten und Webhook-URLs von Slack und Discord.

Besonders tückisch ist die Funktionsweise: Die Angreifer injizieren malicious Commits mit einem “setup.sh”-Payload, exfiltrieren die Daten verschlüsselt an die Domain “checkmarx[.]zone” (IP 83.142.209.11:443) und erstellen als Fallback-Methode ein Backup-Repository namens “docs-tpcp” mit dem gestohlenen Quellmaterial. Die Typosquat-Domänen-Strategie ist bewusst gewählt – bei der Analyse von CI/CD-Logs erscheint der Traffic wie reguläre Kommunikation zur ursprünglichen Aktion.

Das Gefährlichste jedoch ist die kaskadierende Kompromittierung: Werden GitHub Personal Access Tokens (PATs) mit Schreib-Zugriff auf Repositories gestohlen, die auch Checkmarx-Actions nutzen, können Angreifer diese unmittelbar zur Vergiftung weiterer Komponenten missbrauchen. Dies ist genau das, was Sysdig dokumentierte – identische Verschlüsselungsmethoden und das Naming-Schema “tpcp.tar.gz” deuten auf dieselbe Bande hin.

Der Angriff erfolgte via Kompromittierung des “cx-plugins-releases”-Service-Accounts. Zudem verbreiteten die Täter trojanisierte Versionen der Open-VSX-Extensions “ast-results” (2.53.0) und “cx-dev-assist” (1.7.0). Hier zeigt sich eine weitere Eskalation: Die VS Code-Malware prüft, ob Credentials für Cloud-Provider vorhanden sind, lädt dann eine zweite Stufe herunter und versucht Ausführung über npx, bunx, pnpx oder yarn dlx. Auf Non-CI-Systemen installiert der Code Persistenz via systemd-Service und pollt alle 50 Minuten nach weiteren Payloads.

Darüber hinaus berichtete Wiz von bösartigen Docker-Images des Trivy-Scanners und einer neu entdeckten Eskalation: Ein Kubernetes-targeted Script, das alle Maschinen mit iranischer Zeitzone und Locale-Einstellung löscht – ein Hinweis auf geopolitische Ziele.

Für deutsche Organisationen ist sofortiges Handeln erforderlich: Alle GitHub Tokens sollten rotiert, die betroffenen Actions aktualisiert und Credential-Access-Logs gründlich durchsucht werden.

Ähnliche Artikel