TeamPCP toteutti yhden historian laajimmista CI/CD toimitusketjuhyökkäyksistä 19.–27. FBI:n Kyberdivisioona julkaisi 2. heinäkuuta 2026 kriittisen FLASH hälytyksen, jossa se varoitti varastetuista pilviaccess tunnuksista, SSH avaimista ja Kubernetes salaisuuksista.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
Maaliskuun 19. ja 27. päivän välisenä aikana 2026 TeamPCP-nimellä tunnettu uhkatoimija toteutti tietoturvatutkijoiden mukaan yhden historian laajimmista CI/CD-toimitusketjuhyökkäyksistä . Viiden pakettiekosysteemin poikki levittäytynyt hyökkäys käytti hyväkseen peräkkäisistä työkalujen kompromisseista saatuja varastettuja tunnistetietoja. Hyökkääjät kompromisoivat yli 1 000 yrityspilviympäristöä ja solmivat muodollisen kumppanuuden Vect-kiristyshaittaohjelmaoperaation kanssa muuttaakseen varastetun pääsyn kiristysrahavaatimuksiksi
. 2. heinäkuuta 2026 FBI:n Kyberdivisioona julkaisi kriittisen FLASH-hälytyksen, jossa se kuvaili kampanjaa ja antoi erityisiä suojautumissuosituksia
. Tämä artikkeli kokoaa yhteen kaikki keskeiset havainnot saatavilla olevista tietolähteistä, mukaan lukien FBI:n hälytyksen, Sophoksen tutkimuksen ja koko hyökkäysketjun.
TeamPCP (Googlen Threat Intelligence Groupin seuraama UNC6780, käyttää myös nimiä DeadCatx3, PCPcat ja ShellForce) aloitti hyökkäyksen yhdestä puutteellisesti kierrätetystä GitHub-persoonallisesta pääsytunnuksesta .
19. maaliskuuta — Aqua Securityn Trivy: Ensimmäinen kompromissi. TeamPCP sai pääsyn Trivyn GitHub Actions- ja Docker Hub -allekirjoitusavaimiin. Ryhmä pakkosiirsi haitallista koodia 75:een 76:sta trivy-action-version tagista ja julkaisi myrkytetyt binääritiedostot GitHub Releases- ja Docker Hub -palveluihin . Tälle määritettiin CVE-2026-33634 CVSS-pisteellä 9.4
.
20. maaliskuuta — BerriAI:n LiteLLM: Hyödyntäen Trivyn putkesta varastettuja tunnistetietoja TeamPCP työnsi haitallisia LiteLLM-versioita, tekoäly-yhdyskäytävätyökalua, jota käytetään yli 100 LLM-API:n käyttöön, PyPI- ja NPM-palveluihin .
27. maaliskuuta — Telnyx PyPI: TeamPCP julkaisi haitallisia versioita (4.87.1 ja 4.87.2) Telnyx Python SDK:sta .
22. huhtikuuta — Checkmarx KICS ja Bitwarden CLI: Myöhemmät aallot kohdistuivat Checkmarxin KICS-tietoturvatarkastimeen ja Bitwardenin komentoriviliittymään muutaman tunnin sisällä toisistaan, ja ne käyttivät samaa C2-infrastruktuuria . TrendMicro vahvisti nämä osaksi laajempaa TeamPCP-kampanjaa
.
Kuuden päivän kuluessa hyökkäys levisi:
Tätä on myöhemmin kuvailtu ensimmäiseksi dokumentoiduksi itseään levittäväksi toimitusketjumadoksi, joka ylitti itsenäisesti ekosysteemirajat .
FBI:n Kyberdivisioona antoi 2. heinäkuuta 2026 kriittisen hälytyksen (espanjalaiset tiedotusvälineet raportoivat 3. heinäkuuta) vahvistaen, että TeamPCP oli tunkeutunut kehitysympäristöihin ja varastanut pilviaccess-tunnuksia, SSH-avaimia ja Kubernetes-salaisuuksia .
Hälytykseen perustuen FBI neuvoi organisaatioita:
"tpcp-docs" tai "docs-tpcp", joita hyökkääjät käyttivät välitykseen Hälytyksessä todettiin myös, että jo vietyä dataa ja tunnistetietoja tulisi pitää jatkuvana riskinä .
Sophos X-Ops julkaisi tutkimuksen 24. huhtikuuta 2026 dokumentoiden Checkmarx KICS- ja Bitwarden CLI -kompromissit osana TeamPCP-kampanjaa . Keskeiset havainnot:
Hakutuloksista ei löytynyt suoria todisteita, jotka yhdistäisivät TeamPCP:n The Com -kollektiiviin. TeamPCP on yhdistetty LAPSUS$-datamyyntikanavaan ja se pyörittää omaa CipherForce-kiristyshaittaohjelmareittiään, mutta Com-spesifejä yhteyksiä ei löytynyt saatavilla olevista lähteistä .
TeamPCP-kampanja merkitsee käännekohtaa pilviturvallisuudessa: hyökkääjät eivät enää kierrä puolustusta — he aseistavat sitä. Keskeiset opit suojautujille:
tpcp-docs tai docs-tpcpStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TeamPCP toteutti yhden historian laajimmista CI/CD toimitusketjuhyökkäyksistä 19.–27.
TeamPCP toteutti yhden historian laajimmista CI/CD toimitusketjuhyökkäyksistä 19.–27. FBI:n Kyberdivisioona julkaisi 2. heinäkuuta 2026 kriittisen FLASH hälytyksen, jossa se varoitti varastetuista pilviaccess tunnuksista, SSH avaimista ja Kubernetes salaisuuksista.
TeamPCP solmi muodollisen kumppanuuden Vect kiristyshaittaohjelmaoperaation kanssa maaliskuun lopussa 2026, ja Vect solmi lisäksi kumppanuuden BreachForums rikollismarkkinapaikan kanssa huhtikuussa.