{"id":353,"date":"2026-03-24T15:43:32","date_gmt":"2026-03-24T15:43:32","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/teampcp-piratea-acciones-de-checkmarx-github-utilizando-credenciales-de-ci-robadas-cyberdefensa-mx\/"},"modified":"2026-03-24T15:43:32","modified_gmt":"2026-03-24T15:43:32","slug":"teampcp-piratea-acciones-de-checkmarx-github-utilizando-credenciales-de-ci-robadas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/24\/teampcp-piratea-acciones-de-checkmarx-github-utilizando-credenciales-de-ci-robadas-cyberdefensa-mx\/","title":{"rendered":"TeamPCP piratea acciones de Checkmarx GitHub utilizando credenciales de CI robadas \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Otros dos flujos de trabajo de GitHub Actions se han convertido en los \u00faltimos en verse comprometidos por malware de robo de credenciales por parte de un actor de amenazas conocido como TeamPCP, la operaci\u00f3n cibercriminal nativa de la nube que tambi\u00e9n est\u00e1 detr\u00e1s del ataque a la cadena de suministro de Trivy.<\/p>\n

Los flujos de trabajo, ambos mantenidos por la empresa de seguridad de la cadena de suministro Checkmarx, se enumeran a continuaci\u00f3n:<\/p>\n

La empresa de seguridad en la nube Sysdig dijo que observ\u00f3 un ladr\u00f3n de credenciales id\u00e9ntico al utilizado en las operaciones de TeamPCP dirigidas al esc\u00e1ner de vulnerabilidad Trivy de Aqua Security y sus acciones GitHub asociadas, aproximadamente cuatro d\u00edas despu\u00e9s de la violaci\u00f3n del 19 de marzo de 2026. El compromiso de la cadena de suministro de Try se rastrea bajo el identificador CVE. CVE-2026-33634<\/a> (Puntuaci\u00f3n CVSS: 9,4).<\/p>\n

\u00abEsto sugiere que las credenciales robadas del compromiso Trivy se utilizaron para envenenar acciones adicionales en los repositorios afectados\u00bb, Sysdig dicho<\/a>.<\/p>\n

El ladr\u00f3n, conocido como \u00abladr\u00f3n de nubes de TeamPCP\u00bb, est\u00e1 dise\u00f1ado para robar credenciales y secretos relacionados con claves SSH, Git, Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Kubernetes, Docker, archivos .env, bases de datos y VPN, junto con configuraciones de CI\/CD, datos de billeteras de criptomonedas y URL de webhook de Slack y Discord.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Como en el caso de Trivy, se ha descubierto que los actores de amenazas fuerzan la inserci\u00f3n de etiquetas en confirmaciones maliciosas que contienen la carga \u00fatil del ladr\u00f3n (\u00absetup.sh\u00bb). Los datos robados se exfiltran al dominio \u00abcheckmarx[.]zona\u00bb (direcci\u00f3n IP: 83.142.209[.]11:443) en forma de archivo cifrado (\u00abtpcp.tar.gz\u00bb).<\/p>\n

La nueva versi\u00f3n crea un repositorio \u00abdocs-tpcp\u00bb utilizando el GITHUB_TOKEN de la v\u00edctima para preparar los datos robados como m\u00e9todo de respaldo si falla la filtraci\u00f3n al servidor. En el incidente de Trivy, los actores de amenazas utilizaron en su lugar el nombre del repositorio \u00abtpcp-docs\u00bb.<\/p>\n

\u00abEl uso de dominios typosquat espec\u00edficos del proveedor para cada acci\u00f3n envenenada es una t\u00e9cnica de enga\u00f1o deliberada\u00bb, dijo Sysdig. \u00abUn analista que revise los registros de CI\/CD ver\u00eda que el tr\u00e1fico se dirige a lo que parece ser el dominio del propio proveedor de la acci\u00f3n, lo que reduce la probabilidad de detecci\u00f3n manual\u00bb.<\/p>\n

El hecho de que la funci\u00f3n principal del ladr\u00f3n sea recolectar credenciales de la memoria del corredor de CI permite a los operadores extraer tokens de acceso personal (PAT) de GitHub y otros secretos cuando se ejecuta una acci\u00f3n Trivy comprometida en un flujo de trabajo. Para empeorar las cosas, si esos tokens tienen acceso de escritura a repositorios que tambi\u00e9n usan acciones Checkmarx, el atacante puede utilizarlos como arma para enviar c\u00f3digo malicioso.<\/p>\n

\"\"<\/a><\/div>\n

Esto, a su vez, abre la puerta a un compromiso en cascada en la cadena de suministro, donde una acci\u00f3n envenenada captura secretos que se utilizan para facilitar el envenenamiento de otras acciones.<\/p>\n

\u00abLa carga \u00fatil, el esquema de cifrado y la convenci\u00f3n de nomenclatura tpcp.tar.gz id\u00e9nticos confirman que se trata del mismo actor de amenazas que ampl\u00eda su alcance m\u00e1s all\u00e1 del compromiso inicial de Trivy\u00bb, se\u00f1al\u00f3 Sysdig. \u00abLa revisi\u00f3n del c\u00f3digo y el escaneo de dependencias fallaron aqu\u00ed porque el c\u00f3digo malicioso se inyect\u00f3 en una acci\u00f3n confiable en la fuente\u00bb.<\/p>\n

Seg\u00fan Wiz, el ataque parece haberse llevado a cabo mediante el compromiso de la cuenta de servicio \u00abcx-plugins-releases\u00bb, y los atacantes tambi\u00e9n publicar versiones troyanizadas<\/a> del \u00abresultados-ast<\/a>\u00bb (versi\u00f3n 2.53.0) y \u00abasistencia-cx-dev<\/a>\u00bb (versi\u00f3n 1.7.0) Abra las extensiones VSX. Las versiones de VS Code Marketplace no se ven afectadas.<\/p>\n

Una vez activada la extensi\u00f3n, la carga maliciosa comprueba si la v\u00edctima tiene credenciales para al menos un proveedor de servicios en la nube, como GitHub, AWS, Google Cloud y Microsoft Azure. Si se detecta alguna credencial, procede a buscar una carga \u00fatil de la siguiente etapa del mismo dominio (\u00abcheckmarx[.]zona\u00bb).<\/p>\n

\u00abLa carga \u00fatil intenta la ejecuci\u00f3n a trav\u00e9s de npx, bunx, pnpx o Yarn dlx. Esto cubre los principales administradores de paquetes de JavaScript\u00bb, afirman los investigadores de Wiz, Rami McCarthy, James Haughom y Benjamin Read. dicho<\/a>. \u00abEl paquete recuperado contiene un completo ladr\u00f3n de credenciales. Las credenciales recolectadas luego se cifran, utilizando las claves como en otras partes de esta campa\u00f1a, y se exfiltran a ‘checkmarx[.]zona\/vsx’ como tpcp.tar.gz.\u00bb<\/p>\n

\u00abEn sistemas que no son CI, el malware instala la persistencia a trav\u00e9s de un servicio de usuario systemd. El script de persistencia sondea https:\/\/checkmarx[.]zona\/raw cada 50 minutos para cargas \u00fatiles adicionales, con un interruptor de apagado que cancela si la respuesta contiene \u00abyoutube\u00bb. Actualmente, el enlace redirige a The Show Must Go On de Queen\u00bb.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Para mitigar la amenaza, se recomienda a los usuarios que realicen las siguientes acciones con efecto inmediato:<\/p>\n

    \n
  • Rote todos los secretos, tokens y credenciales de la nube a los que tuvieron acceso los ejecutores de CI durante la ventana afectada.<\/li>\n
  • Auditar la ejecuci\u00f3n del flujo de trabajo de GitHub Actions para cualquier referencia a tpcp.tar.gz, scan.aquasecurity[.]org o checkmarx[.]zona en registros de corredor.<\/li>\n
  • Busque en la organizaci\u00f3n de GitHub repositorios llamados \u00abtpcp-docs\u00bb o \u00abdocs-tpcp\u00bb, que indican una exfiltraci\u00f3n exitosa a trav\u00e9s del mecanismo de reserva.<\/li>\n
  • Fije acciones de GitHub para confirmar SHA por completo en lugar de etiquetas de versi\u00f3n, ya que las etiquetas se pueden forzar.<\/li>\n
  • Supervise las conexiones de red salientes desde los ejecutores de CI a dominios sospechosos.<\/li>\n
  • Restrinja el servicio de metadatos de instancia (IMDS) de los contenedores del ejecutor de CI mediante IMDSv2.<\/li>\n<\/ul>\n

    En los d\u00edas posteriores a la infracci\u00f3n inicial, los actores de TeamPCP enviaron im\u00e1genes maliciosas de Docker de Trivy que conten\u00edan el mismo ladr\u00f3n y secuestraron la organizaci\u00f3n GitHub \u00abaquasec-com\u00bb de la compa\u00f1\u00eda para manipular docenas de repositorios internos.<\/p>\n

    Tambi\u00e9n se les ha observado apuntando a cl\u00fasteres de Kubernetes con un script de shell malicioso que borra todas las m\u00e1quinas cuando detecta sistemas que coinciden con la zona horaria y la ubicaci\u00f3n iran\u00ed, lo que destaca una nueva escalada del modus operandi del grupo.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Otros dos flujos de trabajo de GitHub Actions se han convertido en los \u00faltimos en verse comprometidos por malware de robo de credenciales por parte de un actor de amenazas conocido como TeamPCP, la operaci\u00f3n cibercriminal nativa de la nube que tambi\u00e9n est\u00e1 detr\u00e1s del ataque a la cadena de suministro de Trivy. Los flujos […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1129,1226,469,24,931,1225,470,1224,330],"class_list":["post-353","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-acciones","tag-checkmarx","tag-credenciales","tag-cyberdefensa-mx","tag-github","tag-piratea","tag-robadas","tag-teampcp","tag-utilizando"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=353"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/353\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=353"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=353"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}