Meta News

TeamPCP Utiliza Malware Auto-replicante para Atacar Software de Código Abierto y Sistemas en Irán

Summary: Un nuevo grupo de hacking denominado TeamPCP ha lanzado una campaña continua utilizando malware auto-replicante para infectar software de código abierto y atacar sistemas en Irán.

Un nuevo grupo de hacking llamado TeamPCP se ha desplegado activamente un malware auto-replicante a través del ecosistema de código abierto. A finales del mes de diciembre, los investigadores de Flare observaron que TeamPCP estaba explotando plataformas en la nube sin seguridad establecidas para crear una infraestructura distribuida destinada a exfiltrar datos, desplegar ransomware y minar criptomonedas.

El grupo recientemente realizó un ataque por vía de la cadena de suministro en Trivy, un escáner de vulnerabilidades ampliamente utilizado desarrollado por Aqua Security. Al comprometer la cuenta GitHub del creador de Trivy, TeamPCP fue capaz de difundir malware potente a casi todas las versiones del software. Este gusano tenía la capacidad de propagarse automáticamente a nuevas máquinas sin interacción del usuario, lo que lo hace altamente efectivo.

El malware se conoce como CanisterWorm debido a su mecanismo único de control basado en canastillas Internet Computer Protocol (ICP). Fue diseñado para ser imposible alterar y difícil de interferir por terceros. Estas canastillas permitieron a TeamPCP actualizar los servidores de comandos del gusano en cualquier momento, asegurando actualizaciones continuas. Sin embargo, los investigadores descubrieron que una de esas canastillas fue retirada durante el fin de semana, reduciendo su fiabilidad.

En un desarrollo reciente, CanisterWorm se actualizó con un nuevo payload específico para máquinas en Irán. El malware verifica si los sistemas infectados están localizados en la zona horaria de Irán o configurados para su uso allí; al detectar esto, dispara el potente payload llamado Kamikaze, que tiene el potencial de borrar clústeres completos de Kubernetes.

Aunque las actividades de TeamPCP aún no han causado daños reales, presentan riesgos significativos debido a su sofisticación y rápida propagación a través de los ecosistemas de código abierto. Esta campaña subraya el creciente peligro del malware auto-replicante a través de cadenas de suministro y subraya la necesidad de medidas de seguridad robustas en los canales CI/CD y el desarrollo de software de código abierto.

Key facts

  • Un nuevo grupo de hacking, TeamPCP, ha lanzado una campaña persistente utilizando malware auto-replicante para infectar software de código abierto.
  • El grupo comprometió la cuenta GitHub de Trivy y difundió malware potente a prácticamente todas las versiones del escáner de vulnerabilidades.
  • CanisterWorm, llamado así por su mecanismo de control basado en canastillas Internet Computer Protocol (ICP), fue diseñado para ser imposible alterar y actualizarse continuamente.
  • Un nuevo payload, Kamikaze, se dirige a máquinas en Irán, con el potencial de borrar clústeres completos de Kubernetes.
  • Esta campaña subraya el creciente peligro del malware auto-replicante a través de cadenas de suministro.

Why it matters

Esta campaña enfatiza la importancia crítica de prácticas de seguridad robustas en proyectos de código abierto y los canales CI/CD, ya que ilustra cómo atacantes sofisticados pueden aprovechar estos ecosistemas para causar daños significativos.

Tags:
malware supply-chain CI/CD open-source Iran Kubernetes

Structured details

  • Industry: cybersecurity
  • Source type: media
  • Claim status: confirmed
  • Verification: claimed_by_source
  • Entities: TeamPCP, CanisterWorm, Aqua Security, Trivy, GitHub

Source: https://arstechnica.com/security/2026/03/self-propagating-malware-poisons-open-source-software-and-wipes-iran-based-machines/

Published on