Un grup de amenințări care se autodenumește TeamPCP a desfășurat un atac în cascadă asupra lanțului de aprovizionare vizând mai multe instrumente open source pentru dezvoltatori utilizate pe scară largă în ultima săptămână, compromitând scanerul de vulnerabilități Trivy, analizorul de cod KICS al Checkmarx și biblioteca proxy AI LiteLLM în ceea ce cercetătorii în securitate numesc una dintre cele mai semnificative campanii de atacuri asupra lanțului de aprovizionare CI/CD până în prezent. Peste 1.000 de medii cloud enterprise au fost compromise, cu peste 300 de gigabyți de date furate raportate, potrivit SecurityWeek și CSO Online.
Campania, pe care firma de securitate Mandiant a legat-o de o colaborare cu notoriu grup de extorcare Lapsus$, a exploatat token-uri de acces GitHub furate pentru a injecta malware care fură credențiale în pipeline-uri de automatizare de încredere, recoltând chei SSH, credențiale cloud pentru AWS, Azure și GCP, secrete Kubernetes și portofele de criptomonede.
O reacție în lanț prin ecosisteme
Atacul a început pe 19 martie 2026, când TeamPCP a compromis scannerul Trivy al Aqua Security și GitHub Actions asociate, exploatând un token de acces personal care nu fusese rotit complet, conform analizei efectuate de Wiz Research. Atacatorii au introdus forțat cod malicios în 75 din cele 76 de etichete de versiune din depozitul trivy-action și au lansat un executabil contaminat ca versiunea 0.69.4. Încărcătura utilă, care se identifica în codul sursă ca „TeamPCP Cloud stealer”, a scanat memoria executorilor CI pentru a extrage secrete și a exfiltrat pachete criptate către domenii cu nume similare create prin typosquatting.
Până pe 23 martie, acreditările obținute din pipeline-urile Trivy au permis TeamPCP să compromită GitHub Action KICS al Checkmarx, deturnând 35 de etichete și injectând o încărcătură utilă identică, conform documentației Sysdig. În aceeași zi, au apărut pe piața OpenVSX două extensii VS Code Checkmarx malițioase.
Pe 24 martie, campania a ajuns la LiteLLM, un pachet Python cu aproximativ 95 de milioane de descărcări lunare, utilizat în infrastructura AI de către organizații precum Stripe și Netflix. Token-urile de publicare PyPI furate din propriul pipeline CI/CD bazat pe Trivy al LiteLLM au permis TeamPCP să publice direct pe PyPI versiunile compromise 1.82.7 și 1.82.8, conform analizei efectuate de Snyk și Endor Labs. Versiunea 1.82.8 includea un mecanism de persistență care execută malware-ul de fiecare dată când Python pornește, chiar și fără importarea LiteLLM. PyPI a carantinat proiectul în aproximativ trei ore.
Escaladare și legături cu Lapsus$
Charles Carmakal, CTO al Mandiant Consulting, a evaluat că TeamPCP direcționează acum acces furat către rețele criminale mai largi, Lapsus$ fiind printre colaboratorii confirmați. Într-un mesaj pe canalul lor de Telegram, TeamPCP și-a ironizat victimele: „Aceste companii au fost construite pentru a vă proteja lanțurile de aprovizionare, dar nu își pot proteja nici măcar pe ale lor”.
Wiz, care urmărește campania încă de la început, a avertizat că LiteLLM este prezent în 36 la sută din toate mediile cloud. „Asistăm la o convergență periculoasă între atacatorii lanțului de aprovizionare și grupurile de extorcare de profil înalt precum LAPSUS$”, a declarat Ben Read, cercetător principal la Wiz. „Deplasându-se orizontal în cadrul ecosistemului, aceștia creează un ‘efect bulgăre de zăpadă’. Acesta nu este un incident izolat; este o campanie sistemică care necesită ca echipele de securitate să ia măsuri și care probabil va continua să se extindă”.
Ce ar trebui să facă organizațiile
Endor Labs a avertizat că această campanie „aproape sigur nu s-a încheiat”, menționând că fiecare mediu compromis oferă credențiale care deschid accesul la următoarea țintă. Cercetătorii în securitate recomandă organizațiilor să verifice că rulează versiuni curate de software — Trivy 0.69.7, pluginuri Checkmarx 1.10.0 sau 2.56.0 și LiteLLM 1.82.9 sau mai noi — și să rotească imediat toate credențialele cloud, cheile SSH și token-urile dacă oricare dintre instrumentele afectate au fost utilizate între 19 și 24 martie.
Surse: