Цей матеріал є другим оновленням до звіту про масштабну кампанію атак на ланцюг поставок під назвою TeamPCP, що раніше була описана у документі «Коли сканер безпеки став зброєю» (версія 3.0, 25 березня 2026 року). Попереднє оновлення охоплювало події до 26 березня 2026 року, тоді як поточне зосереджується на розвитку ситуації протягом 26-27 березня 2026 року. Серед ключових подій — компрометація репозиторію PyPI, що належить компанії Telnyx, запуск масової партнерської програми для розповсюдження Vect Ransomware, а також перша публічна заява про ідентифікацію жертви.
Кампанія TeamPCP продовжує використовувати складні методи атак на ланцюг поставок. Одним з останніх виявлених векторів є компрометація репозиторію PyPI (Python Package Index), що належить компанії Telnyx. Це дозволило зловмисникам поширювати шкідливі пакети, які можуть бути завантажені розробниками та інтегровані в їхні програмні продукти, створюючи потенційні точки входу для подальших атак.
Паралельно спостерігається значне розширення діяльності Vect Ransomware. Зловмисники запустили масову партнерську програму, що свідчить про перехід до моделі Ransomware-as-a-Service (RaaS). Це дозволяє ширшому колу кіберзлочинців використовувати інструментарій Vect для проведення атак, значно збільшуючи потенційний масштаб загрози. Поява першої публічної заяви про ідентифіковану жертву підкреслює успішність та руйнівний характер цієї кампанії.
Ця кампанія становить значну загрозу для широкого кола організацій та фахівців:
- Розробники програмного забезпечення: Особливо ті, хто використовує пакети з репозиторію PyPI, зокрема ті, що могли бути скомпрометовані. Інтеграція шкідливого коду на етапі розробки створює приховані вразливості, які важко виявити.
- Компанії, що використовують сторонні бібліотеки: Організації, чиї продукти або внутрішні системи залежать від відкритих або сторонніх бібліотек, можуть стати непрямими жертвами атак на ланцюг поставок.
- Будь-яка організація, що є мішенню для програм-вимагачів: З огляду на модель RaaS для Vect Ransomware, будь-яка компанія, що не має належного захисту від програм-вимагачів, може стати жертвою шифрування даних та вимагання викупу.
- Урядові та критичні інфраструктурні об'єкти: Через високий рівень організації та потенційну руйнівність, такі кампанії можуть бути націлені на об'єкти, що мають стратегічне значення.
Для мінімізації ризиків, пов'язаних з кампанією TeamPCP та Vect Ransomware, рекомендується вжити наступних заходів:
- Посилення безпеки ланцюга поставок: Ретельно перевіряйте всі сторонні бібліотеки та залежності, що використовуються у ваших проектах. Застосовуйте інструменти для аналізу складу програмного забезпечення (SBOM) та сканування вразливостей.
- Моніторинг репозиторіїв: Відстежуйте офіційні сповіщення від PyPI та інших репозиторіїв щодо можливих компрометацій або виявлення шкідливих пакетів.
- Захист від програм-вимагачів: Впроваджуйте комплексний захист, що включає регулярне резервне копіювання даних (за принципом 3-2-1), сегментацію мережі, використання надійних антивірусних рішень та EDR-систем, а також навчання персоналу щодо розпізнавання фішингових атак.
- Оновлення систем та програмного забезпечення: Своєчасно встановлюйте всі оновлення безпеки для операційних систем, програмного забезпечення та бібліотек.
- Відстеження загроз: Активно стежте за актуальною інформацією про кіберзагрози від надійних джерел, таких як SANS ISC та CERT-UA.