🔍 Contexte
Publié le 31 mars 2026 par Wiz Research et le Wiz Customer Incident Response Team (CIRT), cet article détaille les activités post-compromission du groupe TeamPCP, identifié comme responsable d’une série d’attaques supply chain ciblant des outils open source populaires entre le 19 et le 27 mars 2026.
🎯 Campagne supply chain initiale
TeamPCP a injecté des malwares de vol de credentials dans quatre projets open source :
- 19 mars : Trivy (Aqua Security) — binaires, GitHub Actions et images container
- 23 mars : KICS (Checkmarx) — GitHub Action et extensions OpenVSX
- 24 mars : LiteLLM — packages PyPI malveillants
- 27 mars : Telnyx — packages Python malveillants sur PyPI
Le malware déployé collecte des credentials cloud, clés SSH, fichiers de configuration Kubernetes et secrets CI/CD, puis les chiffre et les exfiltre vers des domaines contrôlés par l’attaquant.
⚙️ TTPs observées post-compromission
Validation des secrets :
Dès le 19 mars (quelques heures après le déploiement), les secrets volés sont validés via TruffleHog, qui effectue des appels API live (ex: sts:GetCallerIdentity pour les clés AWS). Les types de credentials ciblés incluent AWS access keys, Azure application secrets et tokens SaaS.
Découverte interne (AWS) : Dans les 24h suivant le vol, TeamPCP effectue une énumération systématique :
- Identité/Compute : IAM, EC2, Lambda
- Infrastructure/Stockage : RDS, Route 53, S3
- Conteneurs ECS : ListClusters, ListTaskDefinitions, DescribeTasks
- Secrets Manager : ListSecrets
Exécution de code et mouvement latéral :
- Abus de GitHub workflows via des Personal Access Tokens (PATs) volés pour créer des pull requests malveillantes, suivis de la suppression des logs de workflow
- Utilisation de l’outil Nord Stream (branche
dev_remote_ea5Eu/test/v1) - Dans AWS, utilisation de ECS Exec (via SSM Agent) pour exécuter des commandes Bash et scripts Python sur des conteneurs actifs
Exfiltration de données :
- Clonage massif de dépôts GitHub via
git.cloneavec des PATs volés - Extraction de données depuis S3, Secrets Manager et bases de données AWS
- Noms de ressources révélateurs : “pawn”, “massive-exfil”
🌐 Profil de l’acteur
TeamPCP ne cherche pas à se dissimuler. Le groupe utilise des outils open source à forte signature, opère à grande échelle et utilise principalement des nœuds de sortie Mullvad VPN et des hébergeurs VPS comme InterServer. Les données exfiltrées pourraient être partagées avec d’autres groupes.
📋 Type d’article
Il s’agit d’un rapport d’incident et d’analyse technique publié par Wiz Research, visant à documenter les TTPs post-compromission de TeamPCP, fournir des IOCs exploitables et des règles de détection pour les équipes de réponse à incident.
🧠 TTPs et IOCs détectés
Acteurs de menace
- TeamPCP (unknown)
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
- T1078 — Valid Accounts (Defense Evasion)
- T1580 — Cloud Infrastructure Discovery (Discovery)
- T1526 — Cloud Service Discovery (Discovery)
- T1087.004 — Account Discovery: Cloud Account (Discovery)
- T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
- T1059.006 — Command and Scripting Interpreter: Python (Execution)
- T1537 — Transfer Data to Cloud Account (Exfiltration)
- T1530 — Data from Cloud Storage (Collection)
- T1213 — Data from Information Repositories (Collection)
- T1070.008 — Indicator Removal: Clear Mailbox Data (Defense Evasion)
- T1562.008 — Impair Defenses: Disable or Modify Cloud Logs (Defense Evasion)
- T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
- T1567 — Exfiltration Over Web Service (Exfiltration)
IOC
- IPv4 :
105.245.181.120 - IPv4 :
138.199.15.172 - IPv4 :
154.47.29.12 - IPv4 :
163.245.223.12 - IPv4 :
170.62.100.245 - IPv4 :
185.77.218.4 - IPv4 :
193.32.126.157 - IPv4 :
209.159.147.239 - IPv4 :
23.234.107.104 - IPv4 :
34.205.27.48 - IPv4 :
103.75.11.59
Malware / Outils
- TruffleHog (tool)
- Nord Stream (tool)
- credential-stealing malware (stealer)
🔗 Source originale : https://www.wiz.io/blog/tracking-teampcp-investigating-post-compromise-attacks-seen-in-the-wild