Послушал музыку — потерял данные. Ноу-хау от TeamPCP по упаковке вирусов в аудио
NewsMakerПочему крупнейшие сервисы до сих пор горят на детских ошибках?
Одна утечка, которую не закрыли вовремя, обернулась цепной реакцией и ударила сразу по нескольким крупным сервисам. В марте 2026 года группа TeamPCP провела одну из самых масштабных атак на цепочку поставок программного обеспечения за последние годы, используя всего одну украденную учётную запись.
История началась ещё в феврале, когда злоумышленники получили доступ к системе проверки кода популярного инструмента Trivy . Уязвимость заключалась в том, что автоматический процесс обработки запросов на изменение кода запускался с доступом к секретам проекта. Через него удалось вытащить ключ доступа с широкими правами. После обнаружения инцидента доступ формально закрыли, но сделали это не полностью. Часть ключей осталась рабочей, и именно этот просчёт стал отправной точкой всей цепочки.
19 марта TeamPCP вернулась к уже украденным данным и начала атаку. Через систему сборки Trivy злоумышленники внедрили вредоносный код в обновления, которые затем разошлись через репозитории, контейнерные образы и другие каналы распространения. Код запускался на серверах разработки и сборки, собирал ключи доступа к облачным сервисам, учётные данные, файлы окружения и даже криптовалютные кошельки, после чего отправлял всё на подконтрольные серверы.
Дальше атака развивалась как домино. Из одной скомпрометированной среды вытаскивали новые ключи и сразу использовали их для следующего шага. Уже через несколько дней пострадали экосистемы Aqua Security, npm, LiteLLM, Checkmarx и Telnyx. В каждом случае схема повторялась: вредоносный код попадал в процесс сборки, оттуда забирал секреты и открывал доступ к следующей цели.
Одна утечка, которую не закрыли вовремя, обернулась цепной реакцией и ударила сразу по нескольким крупным сервисам. В марте 2026 года группа TeamPCP провела одну из самых масштабных атак на цепочку поставок программного обеспечения за последние годы, используя всего одну украденную учётную запись.
История началась ещё в феврале, когда злоумышленники получили доступ к системе проверки кода популярного инструмента Trivy . Уязвимость заключалась в том, что автоматический процесс обработки запросов на изменение кода запускался с доступом к секретам проекта. Через него удалось вытащить ключ доступа с широкими правами. После обнаружения инцидента доступ формально закрыли, но сделали это не полностью. Часть ключей осталась рабочей, и именно этот просчёт стал отправной точкой всей цепочки.
19 марта TeamPCP вернулась к уже украденным данным и начала атаку. Через систему сборки Trivy злоумышленники внедрили вредоносный код в обновления, которые затем разошлись через репозитории, контейнерные образы и другие каналы распространения. Код запускался на серверах разработки и сборки, собирал ключи доступа к облачным сервисам, учётные данные, файлы окружения и даже криптовалютные кошельки, после чего отправлял всё на подконтрольные серверы.
Дальше атака развивалась как домино. Из одной скомпрометированной среды вытаскивали новые ключи и сразу использовали их для следующего шага. Уже через несколько дней пострадали экосистемы Aqua Security, npm, LiteLLM, Checkmarx и Telnyx. В каждом случае схема повторялась: вредоносный код попадал в процесс сборки, оттуда забирал секреты и открывал доступ к следующей цели.