Hackergruppe, TeamPCP

Hackergruppe TeamPCP: 300 Gigabyte Cloud-Zugangsdaten erbeutet

Veröffentlicht: 05.07.2026 um 07:07 Uhr, Redaktion boerse-global.de

Hacker kapern Entwickler-Tools und erbeuten 500.000 Cloud-ZugÀnge. FBI rÀt zu sofortigem Passwort-Tausch.

FBI deckt TeamPCP-Hack: 300 GB Cloud-Zugangsdaten gestohlen
Abstrakte Darstellung einer digitalen Lieferkette mit leuchtend roten Datenströmen, die aus miteinander verbundenen Servern und Codezeilen austreten. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die Angreifer infiltrierten populĂ€re Open-Source-Werkzeuge und stahlen sensible Zugangsdaten fĂŒr Cloud-Infrastrukturen.

300 Gigabyte gestohlene Daten

Zwischen Februar und Mai manipulierten die Hacker Entwickler-Tools wie Trivy, KICS, LiteLLM und das Telnyx SDK. Besonders hart traf es den Sicherheits-Scanner Trivy: 76 von 77 untersuchten Versionen waren kompromittiert.

Insgesamt erbeutete TeamPCP rund 300 Gigabyte Daten. Darunter befinden sich etwa 500.000 Zugangsdaten fĂŒr Amazon Web Services, Microsoft Azure und die Google Cloud Platform. Auch SSH-SchlĂŒssel und Kubernetes-Geheimnisse sind betroffen.

Die Exfiltration lief ĂŒber spezifische GitHub-Repositories. Zur Infektion setzte die Gruppe mehrere Schadsoftware-Familien ein. „CanisterWorm“ attackiert Cloud-Tokens, „SANDCLOCK“ zielt auf AWS und Kubernetes. Ein selbstreplizierender Wurm namens „Mini Shai-Hulud“ verbreitete sich eigenstĂ€ndig.

Kooperation mit Ransomware-Bande

Seit dem FrĂŒhjahr arbeitet TeamPCP mit der Gruppierung Vect zusammen. Die Arbeitsteilung ist klar: TeamPCP beschafft Zugangsdaten ĂŒber Supply-Chain-Angriffe, Vect nutzt sie fĂŒr Ransomware-Operationen. Branchenbeobachter berichten von einer deutlichen Zunahme der ErpressungsfĂ€lle. Das mittlere Lösegeld stieg im vergangenen Jahr auf rund 500.000 US-Dollar.

Anzeige

Angriffe auf die digitale Infrastruktur und neue Gesetze stellen Unternehmen vor immer komplexere Sicherheitsfragen. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen, um sich wirksam zu schĂŒtzen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report sichern

Parallel dazu tauchten weitere Bedrohungen auf. Die nordkoreanische Lazarus-Gruppe brachte bösartige npm-Pakete in Umlauf, die legitime Build-Tools imitieren. Die Malware spĂ€ht Browser-Passwörter, Krypto-Wallets und Entwicklerdaten aus. Eine Kampagne namens „PolinRider“ verbreitete ĂŒber 100 schĂ€dliche Pakete ĂŒber npm, Go und den Chrome Web Store.

WordPress-Plugin und Azure unter Beschuss

Auch Web-Plattformen sind betroffen. Sicherheitsforscher entdeckten eine HintertĂŒr in einem Premium-Plugin von WPFactory fĂŒr WooCommerce-Shops. Rund 170.000 WordPress-Installationen gelten als gefĂ€hrdet. Die HintertĂŒr erlaubte das Nachladen von externem Code und die Modifikation von Kernverzeichnissen.

Die US-Behörde CISA warnt vor einer aktiven Schwachstelle im SharePoint Server (CVE-2026-45659). FĂŒr US-Behörden lief die Frist zur Behebung bis zum 4. Juli ab.

Ein massiver Password-Spray-Angriff traf die Azure-Befehlszeilenschnittstelle. Mit rund 81 Millionen Versuchen versuchten Angreifer, veraltete Authentifizierungsprotokolle auszunutzen. 78 Konten in ĂŒber 60 Organisationen wurden kompromittiert.

Anzeige

Da immer mehr Unternehmen Opfer von gezielten Cyberangriffen werden, ist proaktive Absicherung wichtiger denn je. Experten erklĂ€ren im kostenlosen E-Book, wie Sie SicherheitslĂŒcken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfĂŒllen. Checkliste zur IT-Sicherheit jetzt kostenlos herunterladen

Sofortige Maßnahmen empfohlen

Das FBI rĂ€t zu einer sofortigen Rotation aller Zugangsdaten fĂŒr CI/CD-Pipelines. Entwickler sollten in Konfigurationen spezifische Commit-Hashes statt Tags verwenden. Das verhindert das automatische Laden kompromittierter Versionen.

Die Paketverwaltung npm reagierte bereits und schrĂ€nkte Berechtigungen fĂŒr hochprivilegierte Token ein. Angreifer hatten innerhalb kĂŒrzester Zeit hunderte bösartige Paketversionen veröffentlicht. Experten empfehlen Multi-Faktor-Authentifizierung und Mindestalter-Schwellenwerte fĂŒr Softwarepakete, um frisch eingeschleuste Schadsoftware zu blockieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69693125 |