В марте 2026 года команды кибербезопасности столкнулись с серией атак на Supply Chain, затронувших сразу несколько компаний в сфере application security. В центре инцидентов оказались poisoned GitHub Actions, через которые злоумышленники внедряли вредоносный код в CI/CD-конвейеры. Под ударом, в частности, оказались инструменты сканирования безопасности Xygeni, Trivy и Checkmarx.
Расследование этих инцидентов привело аналитиков к группе киберпреступников TeamPCP, которая, по данным наблюдений, активна с конца 2025 года. Параллельно выяснилось, что тот же злоумышленник, которого ранее отслеживали в связи с сетями residential proxies, построенными на базе скомпрометированных TP-Link IoT-устройств, может быть причастен и к атаке на Supply Chain Xygeni.
ShadowLink и совпадения в инфраструктуре
На скомпрометированных маршрутизаторах TP-Link исследователи обнаружили бэкдор ShadowLink, обеспечивавший конфигурацию Command and Control (C2). Примечательно, что структура этого канала и используемые секреты аутентификации зеркально совпадали с вредоносным кодом, внедренным в GitHub Actions компании Xygeni.
По оценке аналитиков, ShadowLink и кампания TeamPCP демонстрируют не только схожие технические приемы, но и общую модель построения инфраструктуры. Речь идет прежде всего о создании распределенных прокси-сетей, которые позволяют скрывать источник трафика и усложнять атрибуцию атак.
Эксплуатация TP-Link и размещение SOCKS5-прокси
Отдельное внимание привлек скрипт tplink_stager.sh, разработанный специально для эксплуатации уязвимости CVE-2024-21833 в маршрутизаторах TP-Link. После успешного использования этой уязвимости злоумышленник мог устанавливать SOCKS5-прокси с помощью инструмента microsocks.
- маскировка процесса прокси под поток worker kernel;
- закрепление на скомпрометированных маршрутизаторах через scheduled tasks;
- использование init scripts для сохранения доступа после перезагрузки;
- развертывание инфраструктуры для дальнейшего скрытого трафика.
Параллельно был обнаружен и аналогичный payload для маршрутизаторов ASUS. По данным расследования, он работал как инструмент разведки: сначала собирал сведения об устройстве, а уже затем использовался для полной развертки вредоносной нагрузки.
GitHub Actions как точка входа в CI/CD
Одна из наиболее показательных техник TeamPCP — tag poisoning в GitHub Actions. С помощью этой схемы атакующие перенаправляли доверенные release-ссылки на вредоносные коммиты, фактически подменяя ожидаемый источник обновлений и внедряя вредоносный код в процессы сборки и доставки.
Такой подход особенно опасен для компаний, использующих автоматизированные цепочки разработки: компрометация одного элемента может привести к заражению сразу нескольких систем и проектов, включая инструменты, отвечающие за безопасность программного обеспечения.
Рост активности и возможные цели
Данные свидетельствуют о том, что активность TeamPCP резко возросла в конце 2025 года. Группа эксплуатировала уязвимости на нескольких платформах и, судя по всему, успела сформировать масштабный botnet, ориентированный на широкий набор злонамеренных задач.
Среди вероятных целей называются:
- кража учетных данных;
- майнинг криптовалюты;
- скрытое использование чужой инфраструктуры через сети прокси;
- дальнейшее развитие атак на Supply Chain и CI/CD-среды.
Неясная связь между TeamPCP и ShadowLink
Хотя прямая связь между оператором ShadowLink и TeamPCP пока остается не до конца установленной, исследователи отмечают заметное совпадение по целям и методам. Оба актора активно используют прокси-сети и схожие технические приемы, что осложняет атрибуцию и может указывать либо на принадлежность ShadowLink к TeamPCP, либо на деятельность отдельного злоумышленника, работающего по аналогичной методологии.
«Совпадение во времени атак, применяемых техниках и профилях целей делает этот кейс особенно важным для понимания современных киберугроз», — следует из выводов анализа.
Почему это важно
Этот случай наглядно показывает, насколько тесно сегодня переплетаются Supply Chain-атаки, компрометация IoT-устройств и построение скрытой прокси-инфраструктуры. Для специалистов по кибербезопасности это означает необходимость учитывать не только классические векторы проникновения, но и взаимосвязи между различными кампаниями, которые на первый взгляд могут выглядеть как отдельные инциденты.
Понимание этих связей критически важно для будущих стратегий защиты, обнаружения угроз и оперативной атрибуции. В условиях, когда злоумышленники все чаще используют общие инфраструктурные элементы и повторяющиеся техники, своевременное выявление таких паттернов становится ключевым фактором устойчивости организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атаки на GitHub Actions связали с ботнетом TeamPCP".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.