Den Ausgangspunkt der Kette bildet nach Darstellung von OpenSourceMalware der Angriff auf Trivy: Schadcode wurde in Trivy-Pakete und GitHub-Actions eingeschleust und ausgeführt, sobald Trivy in nachgelagerten Pipelines lief. Auf diesem Weg gelangte TeamPCP an Veröffentlichungs-Token von NPM-Entwicklern sowie an einen PyPI-Token von Krrish Dholakia, Mitgründer und CEO von LiteLLM.

LiteLLM kommt auf über 90 Millionen monatliche Downloads, weshalb die Kompromittierung eine entsprechend große Reichweite hatte. Unter anderem wurde dabei ein PyPI-Token von Telnyx offengelegt, was dazu führte, dass auch Telnyx’ PyPI-Pakete mit Malware versehen wurden.

Laut einem aktuellen Wiz-Bericht ließ die Gruppe bei der Verwertung der erbeuteten Daten keine Zeit verstreichen. Mit dem Open-Source-Werkzeug TruffleHog prüfte sie, ob gestohlene AWS-Zugangsschlüssel, Azure-Anwendungsgeheimnisse und diverse SaaS-Token noch gültig und in Gebrauch waren.

Innerhalb von 24 Stunden nach dieser Validierung begann TeamPCP in den kompromittierten AWS-Umgebungen mit der Erkundung. Die Gruppe zählte verschiedene Dienste auf, mit Schwerpunkt auf Containern, kartierte Cluster und Task-Definitionen und nahm den AWS Secrets Manager der Opfer ins Visier.

„Nachdem der Zugang bestätigt und der Aufbau erfasst war, setzten die Akteure verschiedene Techniken ein, um zusätzlichen Code auszuführen und Zugriff auf weitere Teile der Opferumgebungen zu erlangen“, hält Wiz fest. Zur Codeausführung in den Zielumgebungen nutzten die Angreifer GitHub-Workflows; über die Funktion ECS Exec führten sie Bash-Befehle und Python-Skripte direkt auf den in AWS laufenden Containern aus.

Aus GitHub-Repositories entwendete TeamPCP Quellcode, Konfigurationsdateien und eingebettete Geheimnisse. In den AWS-Umgebungen griff die Gruppe laut Wiz auf S3-Buckets, den Secrets Manager und Datenbanken zu, um große Datenmengen abzuziehen. Die erbeuteten Daten und kompromittierten Geheimnisse würden möglicherweise an andere Gruppen weitergegeben, um weitere Operationen zu ermöglichen, so das Unternehmen.

Als mögliche Partner, mit denen TeamPCP seinen Zugang zu Geld machen könnte, gelten vor allem die Erpressergruppe Lapsus$ und die Vect Ransomware Group. Laut Socket prahlte Lapsus$ mit künftigen TeamPCP-Operationen, als verfüge die Gruppe über Insiderwissen, während Vect in einem bekannten Hackerforum eine Partnerschaft mit TeamPCP behauptete.