Un nuevo grupo hacker identificado como TeamPCP ha estado llevando a cabo campañas persistentes contra el software de código abierto. El grupo inicialmente utilizó un gusano que explotó plataformas en la nube y construyó infraestructura para ataques adicionales. Más recientemente, el grupo desplegó CanisterWorm, un malware auto-propagante capaz de propagarse autonomamente a través de paquetes npm.
Se observó que CanisterWorm comprometió prácticamente todas las versiones del escáner de vulnerabilidades Trivy después de acceder a la cuenta GitHub de Aqua Security. El gusano se propagó mediante el robo de credenciales de las máquinas afectadas e infectando paquetes publicables. Este mecanismo permitió al malware propagarse rápidamente, lo que dificultaba su contención para los equipos de seguridad.
Posteriormente, CanisterWorm recibió una carga adicional: un dropper llamado Kamikaze, diseñado específicamente para atacar sistemas iraníes. El malware comprueba si las máquinas infectadas están en la zona horaria de Irán o se encuentran configuradas así antes de ejecutar su cargamento destructivo. Aunque no se ha informado daño real aún, el potencial para un impacto masivo permanece alto debido a las capacidades del gusano.
El uso avanzado de tácticas y automatización por parte del grupo ilustra la evolución del panorama de amenazas, subrayando la necesidad continua de vigilancia rigurosa por parte de los profesionales de seguridad.