TeamPCP-Hacker nutzen CI/CD-Pipelines, um Entwickler- und Cloud-Zugangsdaten zu stehlen

In beiden Vorfällen vergifteten die Angreifer offizielle Docker-Images, Code-Erweiterungen und GitHub Actions-Workflows, sodass die betroffenen Pipelines ihre Diebstahl-Payloads als wären sie routinemäßige Komponenten ziehen und ausführen würden.

Forscher, wie diese Angriffe trotz unterschiedlicher technischer Wege zum gleichen Ergebnis führten: Die großflächige Diebstahl Kernaussage ist drastisch: Sobald ein einziger Kontrollpunkt kompromittiert ist, wird jeder vertrauenswürdige Build-Schritt und jedes Release-Job zu einem potenziellen Exfiltrationsstadium.

Im KICS-Vorfall bedeutete dies eine mehrkanalige Vergiftung über Docker Hub, VS Code-Erweiterungen, OpenVSX und GitHub Actions, gefolgt Übernahme des Bitwarden CLI mittels gestohlener Tokens. Im Fall ein einzelner nicht validierter Pull-Request-Kommentar aus, um die eigene Release-Pipeline des Projekts in einen Verteilungskanal zu verwandeln.

Technischer Hintergrund

Bei beiden Wellen zielten die Payloads auf eine breite Palette: GitHub-Personal Access Tokens (PATs), Cloud-Schlüssel, SSH-Materialien, Kubernetes-Geheimnisse, Datenbankpasswörter, Token für Entwickler-Tools sowie sogar Kryptowährungs-Wallets.

In AWS-Umgebungen beschränkte sich der Diebstahl nicht nur auf Dateien auf dem Festplattenlaufwerk, sondern umfasste auch Live-API-Aufrufe an Secrets Manager und SSM Parameter Store, wodurch verwaltete Geheimnisse abgerufen wurden, die lokal gar nicht existierten.

Diese Kombination aus umfassender Credential-Abdeckung und Supply-Chain-Reichweite macht die Kampagne für Organisationen, die stark auf cloud-native CI/CD-Laufwerke angewiesen sind, besonders gefährlich. Zeitplan der TeamPCP-Kampagne vom anfänglichen Trivy-GitHub-Actions-Kompromittierung (19. März 2026) bis zur Injektion des elementary-data-Skripts (24.

April 2026) (Quelle – Trend Micro).

April 2026) (Quelle – Trend Micro). Hier ist der Zeitplan der TeamPCP-Kampagne, beginnend mit den ersten GitHub-Actions-Kompromittierungen im März bis hin zur späteren Injektion des elementary-data-Skripts Mitte April. Die mehrstufige Infektionskette (Quelle – Trend Micro).

Dieser Durchgang durch die mehrkanalige KICS-Infektionskette und den Kompromittierungsweg, wie vertrauenswürdige Infrastruktur die meiste Arbeit verrichtete, sobald die Angreifer einen Fußfessel erlangt hatten. TeamPCP-Hacker missbrauchen CI/CD-Pipelines.

Trend Micro verfolgt TeamPCP als finanziell motiviertes Cluster, das intern auch als SHADOW WATER bezeichnet wird, und verknüpft mehrere Supply-Chain-Vorfälle durch gemeinsame Infrastruktur, Werkzeuge und Operator-Merkmale. Infektionskette des Supply-Chain-Kompromitts bei elementary-data (Quelle: Trend Micro).

In öffentlichen Telemetriedaten hat die Gruppe

In öffentlichen Telemetriedaten hat die Gruppe sogar unter einer und frühere Kompromittierungen mit derselben Markenführung verknüpft, die auch in Payload-Headern und Archivnamen zu finden ist.

Gestohlene Zugangsdaten sind seither in Erpressungsvorfällen aufgetaucht, wobei eine Ransomware-Gruppe Opfer und Daten, die TeamPCP zugeschrieben werden, innerhalb weniger Wochen nach deren Beschaffung veröffentlicht hat.

Im Rahmen der KICS-Kampagne haben die Angreifer bösartige Bilder in das offizielle Checkmarx KICS Docker Hub-Repository hochgeladen, gleichzeitig verwandte VS Code- und OpenVSX-Erweiterungen vergiftet und die GitHub Actions-Arbeitsabläufe des Projekts modifiziert.

Technischer Hintergrund

Die vergifteten Artefakte luden ein JavaScript-Modul zum Diebstahl herunter, das während einer scheinbar normalen KICS-Scan-Operation auf der Bun-Laufzeitumgebung ausgeführt wurde. Dieser Payload entwendete GitHub-Zertifikate, Cloud-Zugangsdaten, SSH-Schlüssel, Konfigurationsdateien und Shell-Historien, bevor er diese über HTTPS an.

Innerhalb nach dem anfänglichen KICS-Expositionszeitraum ermöglichten dieselben gestohlenen Tokens dem TeamPCP, eine bösartige Bitwarden-CLI-Version zu veröffentlichen, die ihre Reichweite auf jeden Entwickler oder jede CI-Umgebung ausdehnte, die diese installierte.

Die Bitwarden-Variante nutzte denselben Command-and-Control-Domain, dieselbe Verschlüsselungsmethode und sogar identisches Fallback-Wiederherstellungsverhalten über die GitHub-Commit-Suche.

Technik und Auswirkungen

Trend Micro korreliert diese Überschneidungen mit einer einzigen Kampagne, was durch Dune-thematische Staging-Repositories und das wiederkehrende Commit-Nachrichten-Markier „Long Live The Resistance Against Machines" über verschiedene Wellen hinweg gestützt wird.

Das Vorfall bei elementary data folgte einem einfacheren, in mancher Hinsicht jedoch besorgniserregenderen Muster. Ein veröffentlichte einen sorgfältig erstellten Kommentar in einer öffentlichen Pull-Request im GitHub-Repository.

Dieser Kommentar gelangte direkt in einen Schritt eines GitHub Actions-Workflows, der Ereignisdaten ohne Sanierung in eine Shell-Befehlszeile einfügte. Der Kommentar injizierte ein Skript, das den GitHub-Token des Runners missbrauchte, um einen signierten Release-Commit vorzutäuschen und die eigene Signier-Pipeline des Projekts auszulösen.

Technik und Auswirkungen

Dadurch wurde ein bösartiges Wheel erzeugt, das signiert und als legitim auf PyPI und GitHub Container Registry hochgeladen wurde. Nach der Installation stützte sich das elementary data-Paket auf einen Python-pth-basierten Loader, der beim Start des Interpreters ausgeführt wird, selbst in Prozessen, die das Paket niemals importieren.

Der innere Diebstahl-Modul wurde in reiner Python geschrieben, um offensichtliche Malware-Muster zu vermeiden und nur wenige Artefakte auf der Festplatte hinterlassen zu lassen; sein Fokus lag schwerpunktmäßig auf Cloud- und Kubernetes-Secrets sowie lokalen Schlüsseln und Tokens.

Die Exfiltration erfolgte erneut über HTTPS mit einem, gefolgt Infrastruktur nach Abschluss der Operation. Schutz ürdigem Missbrauch Die Analyse, dass jeder Einstiegspunkt in die TeamPCP-Kampagne implizitem Vertrauen in CI/CD-Prozesse ausnutzte: vertrauenswürdige Docker-