TeamPCP ha eseguito uno dei più grandi attacchi alla supply chain CI/CD tra il 19 e il 27 marzo 2026, compromettendo cinque ecosistemi di pacchetti in sei giorni e rubando 340 GB di dati da oltre 1.000 ambienti cloud... Il 2 luglio 2026, la divisione cyber dell'FBI ha emesso un'allerta FLASH critica, confermando il...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
Tra il 19 e il 27 marzo 2026, l'attore di minaccia noto come TeamPCP ha eseguito quello che i ricercatori di sicurezza hanno definito "uno dei più grandi attacchi alla supply chain CI/CD mai registrati" . Muovendosi attraverso cinque ecosistemi di pacchetti utilizzando credenziali rubate da compromissioni successive di strumenti, il gruppo ha violato oltre 1.000 ambienti cloud aziendali e ha stretto una partnership formale con l'operazione ransomware Vect per trasformare l'accesso rubato in estorsione
. Il 2 luglio 2026, la divisione cyber dell'FBI ha emesso un'allerta FLASH critica che descriveva la campagna e forniva raccomandazioni specifiche per la mitigazione
. Questo articolo sintetizza tutti i risultati chiave provenienti dalle fonti di intelligence disponibili, inclusi l'allerta FBI, la ricerca Sophos e l'intera catena d'attacco.
TeamPCP (tracciato come UNC6780 dal Google Threat Intelligence Group, con gli alias DeadCatx3, PCPcat e ShellForce) è partito da un singolo token di accesso personale GitHub non completamente ruotato .
19 marzo — Trivy di Aqua Security: la compromissione iniziale. TeamPCP ha ottenuto l'accesso alle chiavi di firma di GitHub Actions e Docker Hub di Trivy, quindi ha forzato il push di codice malevolo su 75 dei 76 tag di versione di trivy-action e ha pubblicato binari avvelenati su GitHub Releases e Docker Hub . A questo è stato assegnato CVE-2026-33634 con un punteggio CVSS di 9.4
.
20 marzo — LiteLLM di BerriAI: utilizzando le credenziali rubate dalla pipeline di Trivy, TeamPCP ha pubblicato versioni malevole di LiteLLM, un gateway AI utilizzato per accedere a oltre 100 API LLM, su PyPI e NPM .
27 marzo — Telnyx PyPI: TeamPCP ha pubblicato versioni malevole (4.87.1 e 4.87.2) dell'SDK Python di Telnyx .
22 aprile — Checkmarx KICS e Bitwarden CLI: ondate successive hanno preso di mira lo scanner di sicurezza KICS di Checkmarx e la CLI di Bitwarden a poche ore di distanza l'una dall'altra, condividendo la stessa infrastruttura C2 . TrendMicro ha confermato che queste facevano parte della più ampia campagna TeamPCP
.
In sei giorni, l'attacco si è diffuso attraverso:
Questo è stato successivamente caratterizzato come il primo worm di supply chain auto-propaganante documentato in grado di attraversare autonomamente i confini tra ecosistemi .
Il 2 luglio 2026, la divisione cyber dell'FBI ha emesso un'allerta critica (riportata dai media spagnoli il 3 luglio) confermando che TeamPCP si era infiltrato negli ambienti di sviluppo e aveva esfiltrato token di accesso al cloud, chiavi SSH e segreti Kubernetes .
Sulla base della copertura dell'allerta, l'FBI ha consigliato alle organizzazioni di:
"tpcp-docs" o "docs-tpcp" utilizzati dagli aggressori per lo staging L'allerta ha anche notato che i dati e le credenziali già esfiltrati dovrebbero essere considerati un rischio persistente .
Sophos X-Ops ha pubblicato una ricerca il 24 aprile 2026 documentando le compromissioni di Checkmarx KICS e Bitwarden CLI come parte della campagna TeamPCP . Risultati chiave:
I risultati della ricerca non hanno portato alla luce prove dirette che colleghino TeamPCP al collettivo The Com. TeamPCP è stato associato al pipeline di vendita dati di LAPSUS$ e gestisce il proprio binario ransomware CipherForce, ma non sono stati trovati collegamenti specifici con The Com nelle fonti disponibili .
La campagna TeamPCP rappresenta un punto di svolta nella sicurezza cloud: gli aggressori non stanno più aggirando le difese — le stanno armando. I punti chiave per i difensori:
tpcp-docs o docs-tpcpStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TeamPCP ha eseguito uno dei più grandi attacchi alla supply chain CI/CD tra il 19 e il 27 marzo 2026, compromettendo cinque ecosistemi di pacchetti in sei giorni e rubando 340 GB di dati da oltre 1.000 ambienti cloud...
TeamPCP ha eseguito uno dei più grandi attacchi alla supply chain CI/CD tra il 19 e il 27 marzo 2026, compromettendo cinque ecosistemi di pacchetti in sei giorni e rubando 340 GB di dati da oltre 1.000 ambienti cloud... Il 2 luglio 2026, la divisione cyber dell'FBI ha emesso un'allerta FLASH critica, confermando il furto di token cloud, chiavi SSH e segreti Kubernetes, e fornendo raccomandazioni specifiche per la mitigazione.
TeamPCP ha stretto una partnership formale con il ransomware as a service Vect a fine marzo 2026, trasformando l'accesso rubato in estorsione tramite doppio riscatto, e successivamente Vect ha integrato anche il marke...