Šta se desilo?

Grupa napadača poznata kao TeamPCP pokrenula je kampanju sa malicioznim kodom koji se širi preko slabo zaštićenih cloud servisa. Napad je namenjen tako da obriše podatke na sistemima koje koriste iranski vremenski pojas ili imaju farsi kao zadanu jezičku postavku. Napadači su iskoristili infrastrukturu baziranu na blockchain tehnologiji (ICP canister) da bi raspodelili štetni kod kroz poznate ranjivosti u Docker API-jima, Kubernetes klasterima i Redis serverima.

Koga pogađa?

Napadu su izložena preduzeća koja koriste cloud infrastrukturu, posebno Azure (61%) i AWS (36%) okruženja. Primarni cilj su iransku lokaciju, ali tehnička infrastruktura omogućava napredovanje kroz javno dostupne cloud komponente. U prethodnim operacijama, TeamPCP je kompromitovao sisteme farmaceutske industrije, tehnoloških kompanija i drugih sektora kritične važnosti.

Kako se zaštititi?

  • Odmah pregledajte i ažurirajte pristupne kredencijale za sve cloud platforme posebno ako ste koristili Trivy ili KICS alate
  • Proverite dostupnost Docker API-ja, Kubernetes klastera i Redis servera - osigurajte da nisu dostupni bez autentifikacije
  • Monitorujte sve GitHub akcije i provere da niste izvršili ili primili potencijalno zaraženi kod iz ovih alata
  • Implementirajte stroga kontrole pristupa za cloud okruženja i ograničite mogućnosti lateralnog kretanja kroz mrežu
  • Proverite SSH ključeve, cloud kredencijale, Kubernetes tokene i cryptocurrency novčanike na mogućnost kompromitovanja
  • Postavite upozorenja za neuobičajene aktivnosti na Kubernetes klasterima posebno brisanje podataka

Tehnički detalji

TeamPCP koristi samoproširujući se malver koji eksploatiše izložene Docker API-je, Kubernetes klastere, Redis servere i React2Shell ranjivost. Inicijalni napad na Aqua Security (proizvođač Trivy alata) dogodio se 19. marta 2026. kada su napadači ubacili credential-stealing malver u zvanične release-ove na GitHub Actions. Isti napadači su kompromitovali i KICS vulnerability scanner od kompanije Checkmarx. CanisterWorm koristi Internet Computer Protocol (ICP) canister kao decentralizovanu infrastrukturu za kontrolu i distribuciju malvera - tehniku koja otežava gašenje i obnavljanje napada. Payload detektuje vremensku zonu i jezičke postavke - ako odgovara iranskom okruženju i napadač pronađe Kubernetes klaster, briše podatke na svim čvorovima klastera. U suprotnom, malver briše podatke sa lokalnog sistema.

Preporuka Sajber Radara

Kompanije moraju hitno proveriti da li su koristile zaražene verzije Trivy, KICS ili drugih open-source alata iz tog perioda i immediately ažurirati na čiste verzije. Posebnu pažnju obratite na GitHub akcije i automatizirane radne tokove - TeamPCP očigledno koristi lančanu napade na popularne alate da bi distribuirao malver u što više okruženja. Pored toga, pojačajte monitoring cloud infrastrukture i ograničite pristup control plane komponentama.