## TeamPCP Lança Wiper Direcionado ao Irã Após Ataques de Cadeia de Suprimentos Um grupo de roubo de dados e extorsão com motivação financeira, **TeamPCP**, está tentando se inserir no conflito iraniano implantando um worm que se espalha por meio de serviços de nuvem mal protegidos. O worm apaga dados em sistemas infectados que usam o fuso horário do Irã ou têm o Farsi definido como idioma padrão. Especialistas dizem que a campanha de wiper contra o Irã se materializou neste último fim de semana. Em dezembro de 2025, o grupo começou a comprometer ambientes de nuvem corporativos usando um worm autorreplicante que visava APIs Docker expostas, clusters Kubernetes, servidores Redis e a vulnerabilidade React2Shell. O TeamPCP então tentou se mover lateralmente pelas redes das vítimas, roubando credenciais de autenticação e extorquindo vítimas via Telegram.  ## Plataforma de Exploração Cloud-Native Em um perfil do TeamPCP publicado em janeiro, a empresa de segurança **Flare** afirmou que o grupo weaponiza planos de controle expostos em vez de explorar endpoints, visando predominantemente a infraestrutura de nuvem em vez de dispositivos de usuário final. **Azure** (61%) e **AWS** (36%) representam 97% dos servidores comprometidos. "A força do TeamPCP não vem de exploits inovadores ou malware original, mas da automação em larga escala e da integração de técnicas de ataque bem conhecidas", escreveu **Assaf Morag**, da **Flare**. "O grupo industrializa vulnerabilidades existentes, configurações incorretas e ferramentas recicladas em uma plataforma de exploração cloud-native que transforma a infraestrutura exposta em um ecossistema criminoso autorreplicante." ## Ataque de Cadeia de Suprimentos ao Trivy Em 19 de março, o TeamPCP executou um ataque de cadeia de suprimentos contra o scanner de vulnerabilidades **Trivy** da **Aqua Security**, injetando malware de roubo de credenciais em lançamentos oficiais no GitHub Actions. A Aqua Security removeu os arquivos maliciosos desde então. A empresa de segurança **Wiz** observa que os atacantes conseguiram publicar versões maliciosas que roubavam chaves SSH, credenciais de nuvem, tokens Kubernetes e carteiras de criptomoedas dos usuários. ## CanisterWorm e a Conexão Iraniana Durante o fim de semana, a mesma infraestrutura técnica que o TeamPCP usou no ataque ao Trivy foi utilizada para implantar um novo payload malicioso que executa um ataque de wiper se o fuso horário e o local do usuário forem determinados como correspondentes ao Irã, disse **Charlie Eriksen**, pesquisador de segurança na **Aikido**. Em um post de blog publicado no domingo, Eriksen disse que, se o componente wiper detectar que a vítima está no Irã e tem acesso a um cluster Kubernetes, ele destruirá os dados em todos os nós desse cluster. "Se não tiver, ele simplesmente apagará a máquina local", disse Eriksen ao KrebsOnSecurity.  A Aikido se refere à infraestrutura do TeamPCP como "**CanisterWorm**" porque o grupo orquestra suas campanhas usando um canister do Internet Computer Protocol (ICP) – um sistema de "contratos inteligentes" à prova de adulteração, baseado em blockchain, que combina código e dados. Os canisters ICP podem servir conteúdo web diretamente aos visitantes, e sua arquitetura distribuída os torna resistentes a tentativas de derrubada. Esses canisters permanecerão acessíveis enquanto seus operadores continuarem a pagar taxas de moeda virtual para mantê-los online. Eriksen disse que as pessoas por trás do TeamPCP estão se gabando de seus exploits em um grupo no Telegram e afirmam ter usado o worm para roubar grandes quantidades de dados sensíveis de grandes empresas, incluindo uma grande empresa farmacêutica multinacional. ## Problema de Malware no GitHub Especialistas em segurança dizem que as mensagens de spam no GitHub podem ser uma forma do TeamPCP garantir que quaisquer pacotes de código contaminados com seu malware permaneçam proeminentes nas buscas do GitHub. Em um boletim informativo publicado hoje intitulado *GitHub está Começando a Ter um Problema Real de Malware*, o repórter do **Risky Business**, **Catalin Cimpanu**, escreve que os atacantes são frequentemente vistos enviando commits sem sentido para seus repositórios ou usando serviços online que vendem estrelas e "curtidas" no GitHub para manter pacotes maliciosos no topo da página de busca do GitHub. O surto deste fim de semana é o segundo grande ataque de cadeia de suprimentos envolvendo o Trivy em tantos meses. No final de fevereiro, o Trivy foi atingido como parte de uma ameaça automatizada chamada HackerBot-Claw, que explorou em massa fluxos de trabalho mal configurados no GitHub Actions para roubar tokens de autenticação. ## Comprometimento do KICS A Wiz está relatando que o TeamPCP também enviou malware de roubo de credenciais para o scanner de vulnerabilidades **KICS** da **Checkmarx**, e que o GitHub Action do scanner foi comprometido entre 12:58 e 16:50 UTC hoje (23 de março). ## Conclusão As atividades recentes do TeamPCP demonstram um cenário de ameaças em crescimento, com a infraestrutura de nuvem e as cadeias de suprimentos se tornando alvos cada vez mais atraentes. Profissionais de segurança devem priorizar a proteção de seus ambientes de nuvem, implementar medidas robustas de segurança na cadeia de suprimentos e permanecer vigilantes contra ameaças emergentes.