PCPJack là một mối đe dọa mạng mới nhắm vào môi trường cloud, tập trung vào các dịch vụ bị lộ trên Internet để thu thập thông tin xác thực ở quy mô lớn. Đây là một mã độc cloud có khả năng lan truyền như worm, khai thác cả cấu hình sai lẫn các lỗ hổng CVE đã công bố.
Phạm vi tấn công của PCPJack
PCPJack nhắm trực tiếp vào các triển khai Docker, Kubernetes, Redis và MongoDB. Mục tiêu của nó là biến các hệ thống cấu hình yếu hoặc có lỗ hổng thành điểm bám để đánh cắp dữ liệu, thu thập credential và thực hiện gian lận tài chính.
Điểm đáng chú ý là PCPJack không theo hướng đào tiền điện tử như nhiều mã độc ransomware hay malware cloud khác. Thay vào đó, mục tiêu chính là khai thác thông tin xác thực từ các dịch vụ cloud, container, nhà phát triển và tài chính.
Chuỗi lây nhiễm và cơ chế khởi chạy
PCPJack bắt đầu bằng một shell script tên bootstrap.sh, chạy âm thầm trên hệ thống Linux trong cloud. Script này chuẩn bị môi trường, cài Python, tải về 6 module chuyên biệt, thiết lập persistence và khởi chạy bộ điều phối chính.
Trong giai đoạn đầu, mã độc còn quét và xóa dấu vết của một nhóm mối đe dọa cạnh tranh có tên TeamPCP. Hành vi này cho thấy PCPJack không chỉ lây lan mà còn chủ động “giành” lại các máy đã bị chiếm quyền điều khiển trước đó.
Kỹ thuật thu thập credential và exfiltration
PCPJack thu thập nhiều loại bí mật hơn mức thường thấy trong các cảnh báo CVE liên quan tới cloud. Danh sách dữ liệu bị lấy gồm SSH key, Slack token, thông tin xác thực WordPress database, OpenAI và Anthropic API key, token của cloud provider và file ví tiền điện tử.
Dữ liệu bị đánh cắp được mã hóa bằng X25519 ECDH và ChaCha20-Poly1305 trước khi gửi ra Telegram channel. Tệp được chia nhỏ để phù hợp giới hạn kích thước tin nhắn, giúp giảm khả năng bị phát hiện trong quá trình exfiltration.
Kỹ thuật quét và mở rộng lây nhiễm
Worm này quét hạ tầng cloud bên ngoài để tìm dịch vụ lộ diện như Docker, Kubernetes, Redis, MongoDB và RayML. PCPJack còn tải dữ liệu hostname từ các tệp parquet của Common Crawl để làm mục tiêu quét, thay vì hardcode địa chỉ trực tiếp trong mã.
Cách tiếp cận này giúp malware mở rộng phạm vi tìm kiếm tới khoảng 104 triệu bản ghi tiềm năng trong mỗi chu kỳ mà không cần điều phối tập trung.
Các lỗ hổng CVE bị khai thác
PCPJack tận dụng 5 lỗ hổng CVE đã công bố để xâm nhập hệ thống mới. Danh sách gồm:
- CVE-2025-29927: Authentication bypass trong middleware của Next.js.
- CVE-2025-55182: Lỗi deserialization phía server trong React và Next.js, còn được gọi là “React2Shell”.
- CVE-2026-1357: Lỗ hổng upload file không cần xác thực trong WPVivid Backup.
- CVE-2025-9501: Lỗi PHP injection trong W3 Total Cache.
- CVE-2025-48703: Lỗi shell injection trong CentOS Web Panel.
Thông tin tham chiếu bổ sung có thể đối chiếu tại NVD.
Hành vi sau khi xâm nhập
Sau khi vào được hệ thống, PCPJack thu thập SSH key và di chuyển ngang bằng cách liệt kê Kubernetes clusters và Docker daemon. Từ đó, nó tự sao chép sang mọi host có thể tiếp cận.
Trong chuỗi tấn công này, remote code execution không phải mục tiêu duy nhất; điều quan trọng hơn là duy trì khả năng lan truyền và tiếp tục lấy credential từ hạ tầng đã bị xâm nhập.
Backdoor hỗ trợ truy cập bền vững
Phân tích cho thấy trên máy staging của kẻ tấn công có một backdoor dựa trên Sliver, được biên dịch thành 3 biến thể để hỗ trợ kiến trúc x86_64, x86 và ARM.
Các binary được lưu cục bộ dưới tên update.bin, update-386.bin và update-arm.bin để ngụy trang như file cập nhật hệ thống hợp lệ.
Ảnh hưởng tới hệ thống và dữ liệu
PCPJack không giới hạn ở cloud infrastructure. Nó còn tìm kiếm credential liên quan tới nền tảng nhắn tin, dịch vụ tài chính và công cụ cộng tác doanh nghiệp. Điều này làm tăng nguy cơ rò rỉ dữ liệu nhạy cảm, resale credential và lạm dụng tài khoản cho mục đích gian lận.
Theo mô tả kỹ thuật, các dịch vụ bị nhắm tới gồm Discord, DigitalOcean, Grafana Cloud, Google API, HashiCorp Vault và 1Password.
IOC và dấu hiệu liên quan
Trong nội dung nguồn không có danh sách IOC đầy đủ như IP, domain hoặc hash. Tuy nhiên, các dấu hiệu kỹ thuật nổi bật gồm:
- bootstrap.sh được dùng làm điểm khởi đầu lây nhiễm.
- update.bin, update-386.bin, update-arm.bin là tên file ngụy trang của binary.
- Telegram channel được dùng để nhận dữ liệu exfiltration.
- Sliver backdoor xuất hiện trên máy staging của kẻ tấn công.
Biện pháp giảm thiểu rủi ro
Để giảm nguy cơ từ lỗ hổng CVE và các đợt quét tự động kiểu worm, đội ngũ vận hành cần bắt buộc MFA cho toàn bộ tài khoản cloud và dịch vụ liên quan. Với AWS, nên dùng IMDSv2 để hạn chế nguy cơ metadata theft.
Đồng thời, phải xác thực chặt chẽ các endpoint Docker và Kubernetes API, áp dụng nguyên tắc least privilege, không lưu secret ở dạng plaintext và thường xuyên kiểm tra environment variables cùng file cấu hình.
Việc theo dõi phát hiện xâm nhập cần tập trung vào hành vi quét dịch vụ công khai, truy cập bất thường tới Docker/Kubernetes, và dấu hiệu thu thập credential từ nhiều nguồn khác nhau.
Tham chiếu kỹ thuật
Báo cáo phân tích từ SentinelOne có thể xem tại: SentinelOne Labs.
