TeamPCP는 오픈 소스 생태계와 AI 도구를 대상으로 소프트웨어 공급망 공격을 잇달아 수행하면서 현재 가장 주목받는 사이버 범죄 집단 중 하나가 되고 있습니다.
이 해커 그룹은 최근 사이버 공격에서 내부 데이터 유출이 확인된 GitHub 사건 이후 많이 언급되었습니다.
GitHub에 따르면 원인은 개발자가 Microsoft의 인기 있는 소스 코드 편집기인 VSCode에 악성 확장 프로그램을 설치했기 때문입니다.
이 사건으로 인해 약 3,800개의 내부 저장소가 침해당했지만 GitHub는 고객 데이터가 영향을 받지 않았다고 주장합니다.
사건 이후 TeamPCP는 GitHub의 소스 코드와 내부 데이터를 판매하기 위해 사이버 범죄 포럼 BreachForums에 게시물을 올린 것으로 알려졌습니다. 이 그룹은 진위 여부를 증명하기 위해 구매자에게 데이터 샘플을 제공할 준비가 되어 있다고 발표했습니다.
사이버 보안 전문가에 따르면 TeamPCP는 2025년 말부터 등장했습니다. 처음에는 이 그룹이 클라우드 플랫폼의 잘못된 구성과 Next. js 애플리케이션 개발 도구의 취약점을 이용하여 봇넷을 배포하고 로그인 정보를 훔치고 불법 암호화폐를 채굴했습니다.
우려스러운 점은 TeamPCP가 소프트웨어 공급망 공격에 집중한다는 것입니다. 이것은 해커가 합법적인 소프트웨어에 악성 코드를 설치하여 악성 코드를 많은 사용자와 기업에 배포하는 형태입니다.
이 그룹의 작동 방식은 일반적으로 일반적인 오픈 소스 도구의 개발 환경에 침투하는 것으로 시작됩니다. 그런 다음 해커는 비밀리에 악성 코드를 소프트웨어에 삽입합니다. 프로그래머 또는 기업이 해당 도구를 다운로드하여 사용하면 악성 코드가 다른 시스템으로 계속 확산됩니다.
이 과정을 통해 TeamPCP는 로그인 정보, 인증 코드 및 여러 소프트웨어 개발 플랫폼에 대한 액세스 권한을 훔칠 수 있습니다.
전문가들은 해커 그룹이 대규모 공격을 자동화하기 위해 "Mini Shai-Hulud"라는 자체 확산 컴퓨터 벌레도 사용한다고 말합니다.
사이버 보안 회사 Socket에 따르면 TeamPCP는 불과 몇 달 만에 약 20건의 공급망 공격 캠페인을 수행하여 500개 이상의 다양한 소프트웨어에 악성 코드를 설치했습니다. 수백 개의 기업이 영향을 받은 것으로 추정됩니다.
GitHub뿐만 아니라 많은 주요 기술 조직도 이 해커 그룹의 표적이 되었습니다. TeamPCP는 OpenAI, Mercor 데이터 플랫폼 및 Python PyPI 소프트웨어 스토어의 LiteLLM AI 도구와 관련된 공격의 배후에 있는 것으로 의심됩니다.
Checkmarx, TanStack, AI 플랫폼 Mistral과 같은 다른 기업 및 조직도 이 해커 그룹의 캠페인의 영향을 받은 것으로 알려져 있습니다.
전문가들은 TeamPCP의 주요 동기가 재정이라고 말합니다. 이 그룹은 일반적으로 랜섬웨어, 데이터 도용 또는 정보를 제3자에게 판매하는 소프트웨어를 배포합니다.
TeamPCP는 또한 "ransomware-as-a-service" 모델로 전환한 것으로 알려져 있습니다. 즉, 다른 사이버 범죄 집단에 랜섬웨어 서비스를 제공하는 것입니다.
공격 위험을 줄이기 위해 전문가들은 기업이 액세스 권한 제어, 인증 코드 엄격한 관리, 로그인 토큰의 정기적인 변경과 같은 사이버 보안을 강화해야 한다고 권장합니다.
또한 조직은 즉시 자동 업데이트하는 대신 설치하기 전에 오픈 소스 소프트웨어 업데이트를 주의 깊게 확인해야 합니다.
