TeamPCP, 19 27 Mart 2026 tarihleri arasında beş farklı yazılım ekosistemini hedef alarak 1.000'den fazla kurumsal bulut ortamına sızdı ve yaklaşık 340 GB veri çaldı. FBI'ın 2 Temmuz 2026'da yayınladığı FLASH uyarısı, çalınan bulut erişim token'ları, SSH anahtarları ve Kubernetes sırlarına karşı acil önlem alınmasını...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
19-27 Mart 2026 tarihleri arasında TeamPCP olarak bilinen tehdit aktörü, güvenlik araştırmacıları tarafından "kayıtlara geçmiş en büyük CI/CD tedarik zinciri saldırılarından biri" olarak tanımlanan operasyonu gerçekleştirdi . Grup, art arda ele geçirdiği araçlardan çaldığı kimlik bilgilerini kullanarak beş farklı yazılım paketi ekosisteminde ilerledi, 1.000'den fazla kurumsal bulut ortamını ele geçirdi ve çalıntı erişimleri gasp amacıyla kullanmak üzere Vect fidye yazılımı operasyonuyla resmi ortaklık kurdu
. 2 Temmuz 2026'da FBI'ın Siber Suçlar Birimi, kampanyanın detaylarını ve spesifik korunma önerilerini içeren kritik bir FLASH uyarısı yayınladı
. Bu makale, FBI uyarısı, Sophos araştırması ve saldırı zincirinin tamamı dahil olmak üzere mevcut tüm istihbarat kaynaklarındaki kilit bulguları bir araya getiriyor.
TeamPCP (Google Tehdit İstihbarat Grubu tarafından UNC6780 olarak takip edilen ve DeadCatx3, PCPcat, ShellForce takma adlarını da kullanan), tam olarak döndürülmemiş tek bir GitHub kişisel erişim token'ı ile başladı .
19 Mart — Aqua Security'nin Trivy'si: İlk ihlal. TeamPCP, Trivy'nin GitHub Actions ve Docker Hub imzalama anahtarlarına erişti, ardından 76 trivy-action sürüm etiketinden 75'ine kötü amaçlı kod gönderdi ve zehirli ikili dosyaları GitHub Releases ve Docker Hub'a yükledi . Bu olaya CVSS puanı 9,4 olan CVE-2026-33634 atandı
.
20 Mart — BerriAI'nin LiteLLM'si: Trivy hattından çalınan kimlik bilgilerini kullanan TeamPCP, 100'den fazla LLM API'sine erişmek için kullanılan bir yapay zeka ağ geçidi aracı olan LiteLLM'nin kötü amaçlı sürümlerini PyPI ve NPM'ye yükledi .
27 Mart — Telnyx PyPI: TeamPCP, Telnyx Python SDK'sının kötü amaçlı sürümlerini (4.87.1 ve 4.87.2) yayınladı .
22 Nisan — Checkmarx KICS ve Bitwarden CLI: Daha sonraki dalgalar, aynı C2 altyapısını kullanarak saatler içinde Checkmarx'in KICS güvenlik tarayıcısını ve Bitwarden'in CLI'sini hedef aldı . TrendMicro, bunların daha geniş TeamPCP kampanyasının bir parçası olduğunu doğruladı
.
Altı gün içinde saldırı şu alanlara yayıldı:
Bu, daha sonra ekosistem sınırlarını otonom olarak aşan ilk belgelenmiş kendi kendine yayılan tedarik zinciri solucanı olarak nitelendirildi .
2 Temmuz 2026'da FBI'ın Siber Suçlar Birimi, TeamPCP'nin geliştirme ortamlarına sızdığını ve bulut erişim token'ları, SSH anahtarları ve Kubernetes sırlarını dışarı sızdırdığını doğrulayan kritik bir uyarı yayınladı (3 Temmuz'da İspanyol medyasında da yer aldı) .
FBI, kuruluşlara şunları tavsiye etti:
"tpcp-docs" veya "docs-tpcp" adlı şüpheli depoları arayın Uyarı ayrıca, halihazırda sızdırılmış veri ve kimlik bilgilerinin kalıcı bir risk olarak değerlendirilmesi gerektiğini de belirtti .
Sophos X-Ops, 24 Nisan 2026'da TeamPCP kampanyasının bir parçası olarak Checkmarx KICS ve Bitwarden CLI ihlallerini belgeleyen bir araştırma yayınladı . Kilit bulgular:
Arama sonuçları, TeamPCP'yi The Com kolektifine bağlayan doğrudan bir kanıt bulamadı. TeamPCP'nin LAPSUS$ veri satış hattıyla ilişkilendirildiği ve kendi CipherForce fidye yazılımı kolunu işlettiği biliniyor, ancak mevcut kaynaklarda Com'a özgü bağlantılara rastlanmadı .
TeamPCP kampanyası, bulut güvenliğinde bir dönüm noktasıdır: saldırganlar artık savunmaları atlatmıyor, onları silah haline getiriyor. Savunmacılar için kilit çıkarımlar:
tpcp-docs veya docs-tpcp adlı hazırlık depolarını izleyinStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TeamPCP, 19 27 Mart 2026 tarihleri arasında beş farklı yazılım ekosistemini hedef alarak 1.000'den fazla kurumsal bulut ortamına sızdı ve yaklaşık 340 GB veri çaldı.
TeamPCP, 19 27 Mart 2026 tarihleri arasında beş farklı yazılım ekosistemini hedef alarak 1.000'den fazla kurumsal bulut ortamına sızdı ve yaklaşık 340 GB veri çaldı. FBI'ın 2 Temmuz 2026'da yayınladığı FLASH uyarısı, çalınan bulut erişim token'ları, SSH anahtarları ve Kubernetes sırlarına karşı acil önlem alınmasını istedi.
Saldırgan grup, Vect fidye yazılımı çetesiyle resmi ortaklık kurarak çalıntı erişimleri çifte gasp amaçlı kullanmaya başladı.