TeamPCP voerde tussen 19 en 27 maart 2026 een van de grootste CI/CD supply chain aanvallen ooit uit, verspreid over vijf pakket ecosystemen in zes dagen. De groep stal 340 GB aan gegevens en compromitteerde meer dan 1.000 enterprise cloudomgevingen door misbruik van gestolen inloggegevens van o.a.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
Tussen 19 maart en 27 maart 2026 voerde de dreigingsactor TeamPCP uit wat beveiligingsonderzoekers 'een van de grootste CI/CD-supply-chain-aanvallen ooit' noemen . Door gestolen inloggegevens van opeenvolgende tool-compromissen te gebruiken, schakelde de groep over vijf pakket-ecosystemen en braken ze in bij meer dan 1.000 enterprise-cloudomgevingen
. Op 2 juli 2026 gaf de FBI Cyber Division een kritische FLASH-waarschuwing uit met details over de campagne en specifieke mitigatie-aanbevelingen
. Dit artikel bundelt alle belangrijke bevindingen uit beschikbare bronnen, waaronder de FBI-waarschuwing, Sophos-onderzoek en de volledige aanvalsketen.
TeamPCP (gevolgd als UNC6780 door Google's Threat Intelligence Group, ook bekend als DeadCatx3, PCPcat en ShellForce) begon met een enkel, niet volledig gerouleerd GitHub persoonlijk toegangstoken .
19 maart — Aqua Security's Trivy: De eerste compromis. TeamPCP kreeg toegang tot GitHub Actions en Docker Hub-ondertekeningssleutels van Trivy, pushte vervolgens met kracht kwaadaardige code naar 75 van de 76 trivy-action versie-tags en publiceerde vergiftigde binaries naar GitHub Releases en Docker Hub . Dit kreeg CVE-2026-33634 met een CVSS-score van 9.4
.
20 maart — BerriAI's LiteLLM: Met gestolen inloggegevens uit de Trivy-pijplijn pushte TeamPCP kwaadaardige versies van LiteLLM, een AI-gateway-tool, naar PyPI en NPM .
27 maart — Telnyx PyPI: TeamPCP publiceerde kwaadaardige versies (4.87.1 en 4.87.2) van de Telnyx Python SDK .
22 april — Checkmarx KICS en Bitwarden CLI: Latere golven richtten zich op Checkmarx's KICS-beveiligingsscanner en Bitwarden's CLI, binnen enkele uren van elkaar, waarbij dezelfde C2-infrastructuur werd gebruikt . TrendMicro bevestigde dat deze onderdeel waren van de bredere TeamPCP-campagne
.
Binnen zes dagen verspreidde de aanval zich over:
Dit werd later gekarakteriseerd als de eerste gedocumenteerde zelf-propagerende supply chain-worm die autonoom ecosysteemgrenzen overschreed .
Op 2 juli 2026 gaf de FBI Cyber Division een kritische waarschuwing uit (gerapporteerd in Spaanse media op 3 juli) waarin ze bevestigde dat TeamPCP ontwikkelomgevingen was binnengedrongen en cloud-toegangstokens, SSH-sleutels en Kubernetes-geheimen had buitgemaakt .
Op basis van de waarschuwing adviseerde de FBI organisaties om:
"tpcp-docs" of "docs-tpcp" die door de aanvallers werden gebruikt voor staging De waarschuwing merkte ook op dat reeds buitgemaakte gegevens en inloggegevens als een blijvend risico moeten worden beschouwd .
Sophos X-Ops publiceerde op 24 april 2026 onderzoek dat de Checkmarx KICS en Bitwarden CLI-compromissen documenteerde als onderdeel van de TeamPCP-campagne . Belangrijke bevindingen:
De zoekresultaten leverden geen direct bewijs op dat TeamPCP linkt aan The Com-collectief. TeamPCP is in verband gebracht met de LAPSUS$-dataverkooppijplijn en runt zijn eigen CipherForce-ransomware-track, maar er werden geen Com-specifieke links gevonden in de beschikbare bronnen .
De TeamPCP-campagne markeert een keerpunt in cloudbeveiliging: aanvallers omzeilen niet langer verdedigingen — ze bewapenen ze. De belangrijkste adviezen voor verdedigers:
tpcp-docs of docs-tpcpStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TeamPCP voerde tussen 19 en 27 maart 2026 een van de grootste CI/CD supply chain aanvallen ooit uit, verspreid over vijf pakket ecosystemen in zes dagen.
TeamPCP voerde tussen 19 en 27 maart 2026 een van de grootste CI/CD supply chain aanvallen ooit uit, verspreid over vijf pakket ecosystemen in zes dagen. De groep stal 340 GB aan gegevens en compromitteerde meer dan 1.000 enterprise cloudomgevingen door misbruik van gestolen inloggegevens van o.a.
Op 2 juli 2026 gaf de FBI Cyber Division een kritische FLASH waarschuwing uit met specifieke mitigatie adviezen, waaronder het pinnen van GitHub Actions op commit SHA's en het zoeken naar 'tpcp docs' repositories.