Hackergruppe, TeamPCP

Hackergruppe TeamPCP: 300 Gigabyte Cloud-Zugangsdaten erbeutet

Veröffentlicht: 05.07.2026 um 07:07 Uhr, Redaktion boerse-global.de

Hacker kapern Entwickler-Tools und erbeuten 500.000 Cloud-Zugänge. FBI rät zu sofortigem Passwort-Tausch.

FBI deckt TeamPCP-Hack: 300 GB Cloud-Zugangsdaten gestohlen
Abstrakte Darstellung einer digitalen Lieferkette mit leuchtend roten Datenströmen, die aus miteinander verbundenen Servern und Codezeilen austreten. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Angreifer infiltrierten populäre Open-Source-Werkzeuge und stahlen sensible Zugangsdaten für Cloud-Infrastrukturen.

300 Gigabyte gestohlene Daten

Zwischen Februar und Mai manipulierten die Hacker Entwickler-Tools wie Trivy, KICS, LiteLLM und das Telnyx SDK. Besonders hart traf es den Sicherheits-Scanner Trivy: 76 von 77 untersuchten Versionen waren kompromittiert.

Insgesamt erbeutete TeamPCP rund 300 Gigabyte Daten. Darunter befinden sich etwa 500.000 Zugangsdaten für Amazon Web Services, Microsoft Azure und die Google Cloud Platform. Auch SSH-Schlüssel und Kubernetes-Geheimnisse sind betroffen.

Die Exfiltration lief über spezifische GitHub-Repositories. Zur Infektion setzte die Gruppe mehrere Schadsoftware-Familien ein. „CanisterWorm“ attackiert Cloud-Tokens, „SANDCLOCK“ zielt auf AWS und Kubernetes. Ein selbstreplizierender Wurm namens „Mini Shai-Hulud“ verbreitete sich eigenständig.

Kooperation mit Ransomware-Bande

Seit dem Frühjahr arbeitet TeamPCP mit der Gruppierung Vect zusammen. Die Arbeitsteilung ist klar: TeamPCP beschafft Zugangsdaten über Supply-Chain-Angriffe, Vect nutzt sie für Ransomware-Operationen. Branchenbeobachter berichten von einer deutlichen Zunahme der Erpressungsfälle. Das mittlere Lösegeld stieg im vergangenen Jahr auf rund 500.000 US-Dollar.

Anzeige

Angriffe auf die digitale Infrastruktur und neue Gesetze stellen Unternehmen vor immer komplexere Sicherheitsfragen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um sich wirksam zu schützen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report sichern

Parallel dazu tauchten weitere Bedrohungen auf. Die nordkoreanische Lazarus-Gruppe brachte bösartige npm-Pakete in Umlauf, die legitime Build-Tools imitieren. Die Malware späht Browser-Passwörter, Krypto-Wallets und Entwicklerdaten aus. Eine Kampagne namens „PolinRider“ verbreitete über 100 schädliche Pakete über npm, Go und den Chrome Web Store.

WordPress-Plugin und Azure unter Beschuss

Auch Web-Plattformen sind betroffen. Sicherheitsforscher entdeckten eine Hintertür in einem Premium-Plugin von WPFactory für WooCommerce-Shops. Rund 170.000 WordPress-Installationen gelten als gefährdet. Die Hintertür erlaubte das Nachladen von externem Code und die Modifikation von Kernverzeichnissen.

Die US-Behörde CISA warnt vor einer aktiven Schwachstelle im SharePoint Server (CVE-2026-45659). Für US-Behörden lief die Frist zur Behebung bis zum 4. Juli ab.

Ein massiver Password-Spray-Angriff traf die Azure-Befehlszeilenschnittstelle. Mit rund 81 Millionen Versuchen versuchten Angreifer, veraltete Authentifizierungsprotokolle auszunutzen. 78 Konten in über 60 Organisationen wurden kompromittiert.

Anzeige

Da immer mehr Unternehmen Opfer von gezielten Cyberangriffen werden, ist proaktive Absicherung wichtiger denn je. Experten erklären im kostenlosen E-Book, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Checkliste zur IT-Sicherheit jetzt kostenlos herunterladen

Sofortige Maßnahmen empfohlen

Das FBI rät zu einer sofortigen Rotation aller Zugangsdaten für CI/CD-Pipelines. Entwickler sollten in Konfigurationen spezifische Commit-Hashes statt Tags verwenden. Das verhindert das automatische Laden kompromittierter Versionen.

Die Paketverwaltung npm reagierte bereits und schränkte Berechtigungen für hochprivilegierte Token ein. Angreifer hatten innerhalb kürzester Zeit hunderte bösartige Paketversionen veröffentlicht. Experten empfehlen Multi-Faktor-Authentifizierung und Mindestalter-Schwellenwerte für Softwarepakete, um frisch eingeschleuste Schadsoftware zu blockieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69693125 |