Un nuevo grupo de hackers está causando caos en Internet con una campaña persistente que distribuye una puerta trasera inédita que se propaga sola. Y, de forma rara, incluye un borrador de datos dirigido a máquinas en Irán.

El grupo se hace llamar TeamPCP. Saltó al radar en diciembre, cuando investigadores de seguridad detectaron un gusano que atacaba plataformas en la nube mal protegidas. 

Los hackers buscaban armar una red de proxies y herramientas de escaneo para luego comprometer servidores, robar datos, lanzar ransomware, extorsionar y minar criptomonedas. Lo que los distingue es su habilidad para automatizar ataques a gran escala y combinar técnicas ya conocidas.

Con el tiempo, la campaña se volvió más agresiva y cambiante. Hace poco, lograron comprometer casi todas las versiones de Trivy, un escáner de vulnerabilidades muy usado, tras tomar control de la cuenta de GitHub de su empresa creadora, Aqua Security. Fue un ataque a la cadena de suministro, uno de los más peligrosos hoy.

Infección masiva 

Luego se detectó un malware aún más potente que también se propagaba solo. Una vez dentro de un sistema, buscaba tokens de acceso al repositorio npm y contaminaba paquetes publicables con código malicioso. 

En menos de un minuto, llegó a infectar decenas de paquetes. Las versiones más recientes ya no requieren intervención humana, lo que amplía su alcance de forma considerable.

El control del gusano usaba un mecanismo poco común basado en contratos inteligentes dentro del Internet Computer Protocol. Esto hacía difícil detenerlo o modificarlo. Las máquinas infectadas se conectaban periódicamente para recibir instrucciones desde direcciones que cambiaban constantemente. Aun así, ese sistema fue desactivado.

Este malware, llamado CanisterWorm, apunta a pipelines de desarrollo y despliegue continuo. Cada desarrollador o sistema automatizado que instala un paquete infectado puede propagarlo sin darse cuenta. El efecto es en cadena. 

Ataques  

Luego añadieron algo más insidioso. Un módulo que borra datos en sistemas ubicados en Irán. El malware detecta la zona horaria o configuración del país y, si coincide, activa este modo destructivo en lugar de robar credenciales. En entornos con Kubernetes puede eliminar todos los nodos. En otros casos, borra el sistema completo. Aunque no hay evidencia de daños reales, el potencial de impacto masivo es evidente.

Este comportamiento no encaja del todo con su historial centrado en el dinero. Podría haber motivaciones ideológicas o simplemente una búsqueda de notoriedad.

Todo esto se conecta con una brecha previa en Aqua Security. La rotación incompleta de credenciales permitió a los atacantes mantener acceso y seguir publicando versiones maliciosas, además de exponer repositorios internos. El ataque no se contuvo bien.

CanisterWorm marca una escalada seria. Puede infiltrarse en sistemas críticos de desarrollo sin ser detectado. Muchas organizaciones podrían estar comprometidas sin saberlo.