TeamPCP (suivi sous le nom UNC6780 par le groupe de renseignement sur les menaces de Google, également sous les alias DeadCatx3, PCPcat et ShellForce) est parti d’un unique token d’accès personnel GitHub incomplètement révoqué .
En seulement six jours, l’attaque s’est propagée à travers :
Cette campagne a été qualifiée de premier ver de chaîne d’approvisionnement auto-propageant documenté, franchissant de manière autonome les frontières des écosystèmes .
Le 2 juillet 2026, la division Cyber du FBI a émis une alerte critique (rapportée dans les médias espagnols le 3 juillet) confirmant que TeamPCP s’était infiltré dans des environnements de développement et avait exfiltré des tokens d’accès au cloud, des clés SSH et des secrets Kubernetes .
Sur la base de la couverture de l’alerte, le FBI conseille aux organisations :
"tpcp-docs" ou "docs-tpcp" utilisés par les attaquants pour le staging L’alerte souligne également que les données et identifiants déjà exfiltrés doivent être considérés comme un risque persistant .
Sophos X-Ops a publié des recherches le 24 avril 2026 documentant les compromissions de Checkmarx KICS et Bitwarden CLI dans le cadre de la campagne TeamPCP . Principales conclusions :
Les résultats de recherche n’ont pas mis en évidence de lien direct entre TeamPCP et le collectif The Com. TeamPCP a été associé au pipeline de vente de données de LAPSUS$ et possède sa propre filière de rançongiciel CipherForce, mais aucun lien spécifique avec Com n’a été trouvé dans les sources disponibles .
La campagne TeamPCP marque un tournant dans la sécurité du cloud : les attaquants ne contournent plus les défenses, ils les transforment en armes. Les principaux points à retenir pour les défenseurs :
tpcp-docs ou docs-tpcp