Группировка TeamPCP провела одну из крупнейших атак на цепочку поставок CI/CD в период с 19 по 27 марта 2026 года, скомпрометировав пять экосистем пакетов за шесть дней. Злоумышленники украли около 340 ГБ данных из конвейеров Trivy/LiteLLM и более 500 000 учетных данных, поразив более 1000 корпоративных облачных сред.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
В период с 19 по 27 марта 2026 года хакерская группировка TeamPCP осуществила то, что исследователи безопасности назвали «одной из крупнейших атак на цепочку поставок CI/CD в истории» . Используя украденные учетные данные из последовательных взломов инструментов, злоумышленники проникли в пять экосистем пакетов, скомпрометировав более 1000 корпоративных облачных сред
. 2 июля 2026 года Отдел кибербезопасности ФБР выпустил критическое FLASH-предупреждение с подробным описанием кампании и конкретными рекомендациями по защите
. Эта статья объединяет все ключевые выводы из доступных источников, включая предупреждение ФБР, исследования Sophos и полную цепочку атаки.
TeamPCP (отслеживается как UNC6780 группой Google Threat Intelligence Group, также использует псевдонимы DeadCatx3, PCPcat и ShellForce) начала атаку с единственного не до конца отозванного персонального токена доступа GitHub .
19 марта — Aqua Security's Trivy: Первоначальный взлом. TeamPCP получила доступ к ключам подписи GitHub Actions и Docker Hub для Trivy, затем принудительно отправила вредоносный код в 75 из 76 версионных тегов trivy-action и опубликовала зараженные бинарные файлы в GitHub Releases и Docker Hub . Это было зарегистрировано как CVE-2026-33634 с оценкой CVSS 9.4
.
20 марта — BerriAI's LiteLLM: Используя учетные данные, украденные из конвейера Trivy, TeamPCP разместила вредоносные версии LiteLLM, инструмента-шлюза для доступа к более чем 100 API LLM, в PyPI и NPM .
27 марта — Telnyx PyPI: TeamPCP опубликовала вредоносные версии (4.87.1 и 4.87.2) Python SDK Telnyx .
22 апреля — Checkmarx KICS и Bitwarden CLI: Поздние волны атак затронули сканер безопасности KICS от Checkmarx и CLI от Bitwarden в течение нескольких часов, используя одну и ту же инфраструктуру C2 . TrendMicro подтвердила, что эти инциденты являются частью более широкой кампании TeamPCP
.
В течение шести дней атака распространилась на:
Позже это охарактеризовали как первый задокументированный самораспространяющийся «червь» цепочки поставок, способный автономно пересекать границы экосистем .
2 июля 2026 года Отдел кибербезопасности ФБР выпустил критическое предупреждение (о котором испанские СМИ сообщили 3 июля), подтверждающее, что TeamPCP проникла в среды разработки и извлекла токены доступа к облаку, ключи SSH и секреты Kubernetes .
Основываясь на содержании предупреждения, ФБР советует организациям:
"tpcp-docs" или "docs-tpcp", используемые злоумышленниками для промежуточного хранения Предупреждение также отмечает, что уже извлеченные данные и учетные данные следует считать постоянной угрозой .
Sophos X-Ops опубликовала исследование 24 апреля 2026, задокументировав взломы Checkmarx KICS и Bitwarden CLI как часть кампании TeamPCP . Ключевые выводы:
Результаты поиска не выявили прямых доказательств связи TeamPCP с коллективом The Com. TeamPCP связана с каналом продажи данных LAPSUS$ и управляет собственным направлением программ-вымогателей CipherForce, но конкретных ссылок на Com в доступных источниках найдено не было .
Кампания TeamPCP знаменует собой переломный момент в облачной безопасности: злоумышленники больше не обходят защиту — они используют ее как оружие. Ключевые выводы:
tpcp-docs или docs-tpcpStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Группировка TeamPCP провела одну из крупнейших атак на цепочку поставок CI/CD в период с 19 по 27 марта 2026 года, скомпрометировав пять экосистем пакетов за шесть дней.
Группировка TeamPCP провела одну из крупнейших атак на цепочку поставок CI/CD в период с 19 по 27 марта 2026 года, скомпрометировав пять экосистем пакетов за шесть дней. Злоумышленники украли около 340 ГБ данных из конвейеров Trivy/LiteLLM и более 500 000 учетных данных, поразив более 1000 корпоративных облачных сред.
ФБР выпустило FLASH предупреждение 2 июля 2026 года, подтвердив кражу токенов доступа к облаку, ключей SSH и секретов Kubernetes, и рекомендовало конкретные меры защиты.