PCPJack Credential Stealer Exploits 5 CVEs to Spread Worm-Like Across Cloud Systems

1 minute de lecture

Mis à jour : May 07, 2026

PCPJack : Un nouveau ver ciblant les infrastructures Cloud

PCPJack est un framework malveillant sophistiqué conçu pour le vol d’identifiants et la propagation latérale au sein d’environnements cloud (Docker, Kubernetes, MongoDB, Redis, etc.). Ce ver se distingue par sa volonté d’évincer le groupe rival “TeamPCP” des machines infectées, tout en utilisant des outils modulaires pour collecter des données sensibles (clés API, accès développeurs, services financiers) et les exfiltrer via Telegram.

Points clés :

Mode opératoire : Utilisation d’un script d’initialisation pour préparer l’environnement, supprimer les traces de TeamPCP, installer des outils Python et établir la persistance.
Stratégie de propagation : Utilisation de données provenant de Common Crawl pour scanner automatiquement les plages d’adresses IP des principaux fournisseurs cloud (AWS, Azure, GCP, etc.).
Cibles : Identifiants liés à des services tiers tels qu’OpenAI, Anthropic, HashiCorp Vault, Discord et divers services de gestion de secrets.
Modularité : Le framework est composé de six scripts Python spécialisés (orchestration, scan, extraction, chiffrement, mouvement latéral).

Vulnérabilités exploitées : Le ver automatise l’exploitation de cinq vulnérabilités connues pour assurer sa propagation :

CVE-2025-55182
CVE-2025-29927
CVE-2026-1357
CVE-2025-9501
CVE-2025-48703

Recommandations :

Mise à jour des systèmes : Appliquer immédiatement les correctifs pour les CVE listées ci-dessus.
Gestion des accès : Restreindre l’accès à l’Instance Metadata Service (IMDS) et aux comptes de service Kubernetes pour limiter l’exposition des jetons d’authentification.
Audit de configuration : Scanner les services exposés (Docker, Redis, MongoDB) pour détecter des configurations par défaut ou des ports inutilement ouverts sur Internet.
Surveillance : Surveiller les processus suspects utilisant des bibliothèques Python non autorisées et détecter tout trafic réseau sortant inattendu vers Telegram.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

PCPJack Credential Stealer Exploits 5 CVEs to Spread Worm-Like Across Cloud Systems

PCPJack : Un nouveau ver ciblant les infrastructures Cloud

Partager sur

Vous pourriez aimer

Webinar: Why modern attacks require both security and recovery

Vers une cyber-résilience intégrée pour les MSP

vm2 Node.js Library Vulnerabilities Enable Sandbox Escape and Arbitrary Code Execution

Vulnérabilités critiques de la bibliothèque Node.js vm2 : Évasions de bac à sable

Tp-Link Archer AX53 v1.0 Openvpn configuration restore script_security OS command injection vulnerability

Vulnérabilité d’injection de commandes sur les routeurs TP-Link Archer AX53

Tp-Link Archer AX53 v1.0 Openvpn configuration restore client_connect OS command injection vulnerability

Vulnérabilité d’injection de commandes dans le routeur TP-Link Archer AX53