Hackergruppe TeamPCP: 300 Gigabyte Cloud-Zugangsdaten erbeutet
Veröffentlicht: 05.07.2026 um 07:07 Uhr, Redaktion boerse-global.de
Die Angreifer infiltrierten populäre Open-Source-Werkzeuge und stahlen sensible Zugangsdaten für Cloud-Infrastrukturen.
300 Gigabyte gestohlene Daten
Zwischen Februar und Mai manipulierten die Hacker Entwickler-Tools wie Trivy, KICS, LiteLLM und das Telnyx SDK. Besonders hart traf es den Sicherheits-Scanner Trivy: 76 von 77 untersuchten Versionen waren kompromittiert.
Insgesamt erbeutete TeamPCP rund 300 Gigabyte Daten. Darunter befinden sich etwa 500.000 Zugangsdaten für Amazon Web Services, Microsoft Azure und die Google Cloud Platform. Auch SSH-Schlüssel und Kubernetes-Geheimnisse sind betroffen.
Die Exfiltration lief über spezifische GitHub-Repositories. Zur Infektion setzte die Gruppe mehrere Schadsoftware-Familien ein. „CanisterWorm“ attackiert Cloud-Tokens, „SANDCLOCK“ zielt auf AWS und Kubernetes. Ein selbstreplizierender Wurm namens „Mini Shai-Hulud“ verbreitete sich eigenständig.
Kooperation mit Ransomware-Bande
Seit dem Frühjahr arbeitet TeamPCP mit der Gruppierung Vect zusammen. Die Arbeitsteilung ist klar: TeamPCP beschafft Zugangsdaten über Supply-Chain-Angriffe, Vect nutzt sie für Ransomware-Operationen. Branchenbeobachter berichten von einer deutlichen Zunahme der Erpressungsfälle. Das mittlere Lösegeld stieg im vergangenen Jahr auf rund 500.000 US-Dollar.
Angriffe auf die digitale Infrastruktur und neue Gesetze stellen Unternehmen vor immer komplexere Sicherheitsfragen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um sich wirksam zu schützen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report sichern
Parallel dazu tauchten weitere Bedrohungen auf. Die nordkoreanische Lazarus-Gruppe brachte bösartige npm-Pakete in Umlauf, die legitime Build-Tools imitieren. Die Malware späht Browser-Passwörter, Krypto-Wallets und Entwicklerdaten aus. Eine Kampagne namens „PolinRider“ verbreitete über 100 schädliche Pakete über npm, Go und den Chrome Web Store.
WordPress-Plugin und Azure unter Beschuss
Auch Web-Plattformen sind betroffen. Sicherheitsforscher entdeckten eine Hintertür in einem Premium-Plugin von WPFactory für WooCommerce-Shops. Rund 170.000 WordPress-Installationen gelten als gefährdet. Die Hintertür erlaubte das Nachladen von externem Code und die Modifikation von Kernverzeichnissen.
Die US-Behörde CISA warnt vor einer aktiven Schwachstelle im SharePoint Server (CVE-2026-45659). Für US-Behörden lief die Frist zur Behebung bis zum 4. Juli ab.
Ein massiver Password-Spray-Angriff traf die Azure-Befehlszeilenschnittstelle. Mit rund 81 Millionen Versuchen versuchten Angreifer, veraltete Authentifizierungsprotokolle auszunutzen. 78 Konten in über 60 Organisationen wurden kompromittiert.
Da immer mehr Unternehmen Opfer von gezielten Cyberangriffen werden, ist proaktive Absicherung wichtiger denn je. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Checkliste zur IT-Sicherheit jetzt kostenlos herunterladen
Sofortige Maßnahmen empfohlen
Das FBI rät zu einer sofortigen Rotation aller Zugangsdaten für CI/CD-Pipelines. Entwickler sollten in Konfigurationen spezifische Commit-Hashes statt Tags verwenden. Das verhindert das automatische Laden kompromittierter Versionen.
Die Paketverwaltung npm reagierte bereits und schränkte Berechtigungen für hochprivilegierte Token ein. Angreifer hatten innerhalb kürzester Zeit hunderte bösartige Paketversionen veröffentlicht. Experten empfehlen Multi-Faktor-Authentifizierung und Mindestalter-Schwellenwerte für Softwarepakete, um frisch eingeschleuste Schadsoftware zu blockieren.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
