PCPJack: Worm Baru yang Curi Kredensial Cloud dan “Bersihkan” Infeksi Rival
Dunia keamanan cloud kini tengah dihebohkan oleh kemunculan PCPJack, sebuah framework malware baru yang sangat agresif. Tidak hanya mencuri kredensial dari infrastruktur cloud yang terekspos, PCPJack juga bertindak sebagai “petugas kebersihan” dengan menghapus akses kelompok rival, TeamPCP, dari sistem yang mereka kuasai.
Peneliti dari SentinelLabs menduga bahwa PCPJack dikembangkan oleh mantan anggota atau afiliasi dari TeamPCP yang memisahkan diri. Hal ini terlihat dari kemiripan target dan teknik yang digunakan, namun dengan sentuhan permusuhan yang nyata terhadap tooling lama mereka.
“Perang Geng” di Infrastruktur Cloud
Salah satu fitur paling unik dari PCPJack adalah kemampuannya untuk mendeteksi infeksi TeamPCP. Saat script awal (bootstrap.sh) dijalankan di sistem Linux, malware ini secara eksplisit mencari proses, layanan, kontainer, dan file milik TeamPCP untuk dihapus sepenuhnya.
Tujuannya jelas: mengklaim sistem tersebut hanya untuk operasi mereka sendiri dan menghilangkan persaingan dalam memonetisasi data korban.
Target Pencurian Data yang Masif
PCPJack dirancang untuk pencurian kredensial skala besar. Beberapa data sensitif yang diincar meliputi:
- Akses Cloud & Dev: Kunci SSH, token Slack, DigitalOcean, dan konfigurasi WordPress.
- AI & Database: Kunci API OpenAI dan Anthropic, serta kredensial database (Redis, MongoDB).
- Komunikasi & Finansial: Data dari aplikasi messenger (Discord) dan layanan keuangan.
Data yang dicuri dienkripsi menggunakan algoritme canggih (X25519 ECDH dan ChaCha20-Poly1305) sebelum dikirim ke kanal Telegram. Mereka membagi data menjadi potongan kecil berukuran 2.800 byte agar sesuai dengan batas karakter pesan Telegram.
Daftar Eksploitasi: Memanfaatkan Celah Populer
PCPJack menyebar dengan memindai layanan seperti Docker, Kubernetes, dan RayML yang terekspos di internet. Mereka memanfaatkan beberapa kerentanan (CVE) terbaru:
| Kode CVE | Target | Dampak |
| CVE-2025-29927 | Next.js Middleware | Authentication bypass melalui header khusus. |
| CVE-2025-55182 | React & Next.js | Flaw deserialisasi (React2Shell) untuk eksekusi kode. |
| CVE-2026-1357 | WPVivid Backup | Unggah file tanpa otentikasi pada WordPress. |
| CVE-2025-9501 | W3 Total Cache | Injeksi PHP melalui komentar cache. |
| CVE-2025-48703 | CentOS Web Panel | Injeksi shell pada fungsi Filemanager. |
Selain eksploitasi eksternal, PCPJack sangat ahli dalam pergerakan lateral. Setelah masuk ke satu sistem, ia akan memanen kunci SSH dan memindai daemon Docker atau klaster Kubernetes internal untuk menginfeksi host lain di jaringan yang sama.
Langkah Mitigasi bagi Admin Cloud
Untuk melindungi infrastruktur Anda dari ancaman PCPJack, para peneliti menyarankan:
- Wajibkan MFA: Pastikan semua akses administratif menggunakan otentikasi multifaktor.
- Amankan Docker & K8s: Jangan biarkan daemon Docker atau dasbor Kubernetes terekspos ke internet publik tanpa otentikasi yang kuat.
- Gunakan IMDSv2: Bagi pengguna AWS, beralihlah ke Instance Metadata Service versi 2 untuk mencegah pencurian token.
- Enkripsi Rahasia: Hindari menyimpan kunci API, token, atau password dalam bentuk teks biasa (plaintext) di dalam skrip atau file konfigurasi.
Sumber: SentinelLabs
