PCPJack-Angriff, Hacker

PCPJack-Angriff: Hacker kaperter 230 Cloud-Server von AWS, Azure, Google

12.06.2026 - 13:27:30 | boerse-global.de

Hacker nutzen 230 Cloud-Server als verdeckte SMTP-Relays. Sicherheitsforscher entdecken parallele Angriffe auf GitHub-Repositories.

PCPJack kapert Cloud-Server von Amazon, Microsoft und Google
PCPJack-Angriff - A hooded figure typing on a laptop in a dark server room, with digital code overlaying the scene, representing a cyberattack. 12.06.2026 - Bild: über boerse-global.de

Betroffen sind Dienste von Amazon, Microsoft und Google.

Die Angreifer nutzten die rund 230 kompromittierten Server als verdeckte SMTP-Proxy-Netzwerke. Ihr Ziel: das Verschleiern von E-Mail-Verkehr und das Umgehen von Spam-Filtern. Die Sicherheitsfirma Hunt.io entdeckte die Kampagne durch offene Verzeichnisse auf einem Kommando-Server der Gruppe.

Anzeige

Der aktuelle Fall zeigt, wie raffiniert Hacker Cloud-Strukturen für ihre Angriffe ausnutzen. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen vor modernen Cyberbedrohungen schützen. Gratis-E-Book: Cyber Security Trends jetzt herunterladen

Wie die Angreifer vorgingen

Die gekaperten Maschinen – überwiegend Linux-Server – synchronisierten sich alle fünf Minuten mit einem zentralen Steuerungsserver. Diese kurzen Intervalle erlaubten es den Angreifern, stets aktuelle Knotenpunkte für ihr Relay-Netzwerk bereitzuhalten. Die Wahl fiel bewusst auf Cloud-Umgebungen: Deren IP-Adressen genießen hohes Vertrauen bei Sicherheitssystemen und umgehen so Standard-Spam-Filter.

Für Administratoren gibt es klare Warnsignale. Die Sicherheitsexperten raten, Linux-Umgebungen auf folgende Indikatoren zu prüfen:

  • Eine Datei unter /var/tmp/.xs
  • Aktive Chisel-Prozesse (ein Werkzeug für Netzwerk-Tunnel)
  • Unerwarteten ausgehenden SMTP-Verkehr auf Port 587

Parallele Angriffe auf Entwickler-Tools

Die PCPJack-Operation fällt in eine Phase erhöhter Aktivität gegen Cloud- und Entwicklungsumgebungen. Zeitgleich berichten Sicherheitsforscher von einem separaten Angriff der Gruppe TeamPCP. Diese nutzte Anfang Juni den Miasma-Wurm – eine Variante der Mini-Shai-Hulud-Malware – um 73 GitHub-Repositories von Microsoft zu infiltrieren, darunter solche für Azure Functions und KI-Beispielanwendungen.

Anzeige

Da Angreifer zunehmend psychologische Tricks und technische Schwachstellen kombinieren, wird eine umfassende Awareness-Strategie für Firmen immer wichtiger. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie die Abwehrkräfte Ihres Unternehmens gegen Cyberkriminalität stärken. Kostenloses Anti-Phishing-Paket sichern

Die Angriffswelle begann am 1. Juni mit über 30 schädlichen Paketen unter einem Red-Hat-npm-Namespace. Vier Tage später schleusten die Angreifer einen bösartigen Commit in eine Azure-Bibliothek ein. Der Exploit zündete, sobald Entwickler das Repository mit KI-gestützten Tools wie Claude Code, Cursor oder VS Code öffneten.

Microsoft konnte die betroffenen Repositories innerhalb von 105 Sekunden nach Erkennung abschalten. Dennoch gelang den Angreifern zuvor der Abfluss sensibler Daten: AWS- und Azure-Zugangsschlüssel, GitHub-Tokens und CI/CD-Geheimnisse. Ob PCPJack und TeamPCP direkt zusammenarbeiten, ist noch unklar – die Namensähnlichkeit und der Fokus auf Cloud-Zugangsdaten lassen jedoch Verbindungen vermuten.

de | wissenschaft | 69527050 |