TeamPCP здійснив одну з найбільших атак на ланцюг постачання CI/CD в історії: з 19 по 27 березня 2026 року зловмисники скомпрометували п'ять екосистем пакунків, викравши 340 ГБ даних з понад 1000 хмарних середовищ під... 2 липня 2026 року ФБР випустило критичне попередження FLASH, підтвердивши викрадення токенів дос...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What are the key findings from the FBI alert and Sophos research about the TeamPCP supply chain a. Article summary: Here is the fact-checked synthesis of the TeamPCP campaign based on available sources. A few specific details (Okta's exact recommendations and TeamPCP's link to The Com collective) were not captured in the search result. Topic tags: general, education, general web, user generated. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, cha
Між 19 і 27 березня 2026 року загрозливий актор, відомий як TeamPCP, здійснив те, що дослідники безпеки назвали «однією з найбільших атак на ланцюг постачання CI/CD в історії» . Використовуючи викрадені облікові дані з послідовних компрометацій інструментів, група переміщувалася через п'ять екосистем пакунків, скомпрометувавши понад 1000 хмарних середовищ підприємств, та офіційно об'єдналася з операцією програми-вимагача Vect, щоб перетворити викрадений доступ на вимагання
. 2 липня 2026 року Кібернетичний відділ ФБР випустив критичне попередження FLASH із детальним описом кампанії та конкретними рекомендаціями щодо захисту
. У цій статті зібрано всі ключові висновки з наявних джерел розвідки, включаючи попередження ФБР, дослідження Sophos та повний ланцюг атаки.
TeamPCP (відстежується як UNC6780 групою Google Threat Intelligence, також використовує псевдоніми DeadCatx3, PCPcat та ShellForce) розпочав атаку з одного неповністю відкликаного персонального токена доступу GitHub .
19 березня — Aqua Security Trivy: Початкова компрометація. TeamPCP отримав доступ до ключів підписання GitHub Actions та Docker Hub, а потім примусово надіслав шкідливий код до 75 із 76 тегів версій trivy-action та опублікував отруєні бінарні файли на GitHub Releases та Docker Hub . Це отримало позначку CVE-2026-33634 з оцінкою CVSS 9.4
.
20 березня — LiteLLM від BerriAI: Використовуючи облікові дані, викрадені з конвеєра Trivy, TeamPCP надіслав шкідливі версії LiteLLM, інструменту AI-шлюзу, що використовується для доступу до понад 100 LLM API, на PyPI та NPM .
27 березня — Telnyx PyPI: TeamPCP опублікував шкідливі версії (4.87.1 та 4.87.2) Python SDK Telnyx .
22 квітня — Checkmarx KICS та Bitwarden CLI: Пізніші хвилі атакували сканер безпеки KICS від Checkmarx та CLI Bitwarden протягом кількох годин одна від одної, використовуючи спільну C2-інфраструктуру . TrendMicro підтвердила, що це частина ширшої кампанії TeamPCP
.
Протягом шести днів атака поширилася на:
Пізніше це було охарактеризовано як перший задокументований саморозповсюджуваний хробак у ланцюгу постачання, який автономно перетинає межі екосистем .
2 липня 2026 року Кібернетичний відділ ФБР випустив критичне попередження (повідомлене в іспанських ЗМІ 3 липня), підтвердивши, що TeamPCP проник у середовища розробки та витягнув токени доступу до хмар, ключі SSH та секрети Kubernetes .
На основі звітів про попередження, ФБР порадило організаціям:
"tpcp-docs" або "docs-tpcp", які використовувалися зловмисниками для проміжного зберігання У попередженні також зазначено, що вже викрадені дані та облікові дані слід вважати постійним ризиком .
Sophos X-Ops опублікувала дослідження 24 квітня 2026 року, документуючи компрометації Checkmarx KICS та Bitwarden CLI як частину кампанії TeamPCP . Ключові висновки:
Результати пошуку не виявили прямих доказів зв'язку TeamPCP з колективом The Com. TeamPCP був пов'язаний з конвеєром продажу даних LAPSUS$ та керує власним напрямком програм-вимагачів CipherForce, але специфічних зв'язків з The Com у доступних джерелах не знайдено .
Кампанія TeamPCP є переломним моментом у хмарній безпеці: зловмисники більше не обходять захист — вони використовують його як зброю. Ключові висновки для фахівців:
tpcp-docs або docs-tpcpStudio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
TeamPCP здійснив одну з найбільших атак на ланцюг постачання CI/CD в історії: з 19 по 27 березня 2026 року зловмисники скомпрометували п'ять екосистем пакунків, викравши 340 ГБ даних з понад 1000 хмарних середовищ під...
TeamPCP здійснив одну з найбільших атак на ланцюг постачання CI/CD в історії: з 19 по 27 березня 2026 року зловмисники скомпрометували п'ять екосистем пакунків, викравши 340 ГБ даних з понад 1000 хмарних середовищ під... 2 липня 2026 року ФБР випустило критичне попередження FLASH, підтвердивши викрадення токенів доступу до хмар, ключів SSH та секретів Kubernetes, а також надавши конкретні рекомендації щодо пом'якшення наслідків.
TeamPCP офіційно об'єднався з програмою вимагачем Vect (RaaS) для подвійного вимагання, а Vect додатково залучив до співпраці майданчик BreachForums, роздавши ключі афіліатів 300 000 користувачам.