PyPI

📰 Contexte Article publié le 18 juin 2026 par CyberScoop (Matt Kapko). Il s’agit d’une analyse approfondie de la campagne du groupe TeamPCP, actif depuis fin 2025, qui mène une attaque de grande envergure contre l’écosystème open-source. 🎯 Acteur de la menace TeamPCP est attribué par Google à un opérateur principal unique, dont les connexions IP résidentielles et mobiles ont été tracées en Afrique du Sud. Palo Alto Networks identifie le handle principal : ResoluteXBF, ainsi que deux membres supplémentaires : diencracked et Shinigami. Le groupe a collaboré ponctuellement avec des entités telles que Lapsus$, ShinyHunters, DragonForce, BreachForums et HasanBroker. La motivation principale est la notoriété underground et le chaos, non le gain financier (environ 90 000 USD d’extorsions revendiquées). ⚙️ Méthodes d’attaque Injection de code malveillant dans des packages open-source sur npm, PyPI, GitHub et d’autres registres. Ciblage des pipelines CI/CD (CI runners) pour propager le malware à tous les utilisateurs en aval qui tirent automatiquement les dernières versions. Vol de credentials pour des environnements Kubernetes, AWS, Microsoft Azure, Google Cloud. Développement de payloads en JavaScript et Python, extension vers les APIs Kubernetes et les SDKs. Vol de credentials via protocoles personnalisés. Infections récurrentes dues à une rotation insuffisante des secrets par les victimes. 📦 Packages et victimes notables Première attaque documentée : Trivy (février 2026). Victimes revendiquées : Checkmarx, Bitwarden, LiteLLM, Telnyx, Mercor AI, PyTorch Lightning, AntV, SAP, GitHub, TanStack, UiPath, MistralAI, Microsoft DurableTask, Red Hat, Nx Console. Volume combiné : environ 500 millions de téléchargements hebdomadaires pour l’ensemble des packages compromis. Plus de 10 000 victimes revendiquées par TeamPCP. Environ 4 000 dépôts de code privés mis en vente sur un forum darkweb pour 95 000 USD. 🦠 Malware notable Mini Shai-Hulud : malware auto-répliquant ayant infecté des centaines de packages open-source. Son code source complet a été publié sur GitHub par un affilié de TeamPCP pour encourager d’autres cybercriminels à l’utiliser. 📊 Facteurs aggravants Utilisation croissante de l’IA par les développeurs réduisant la supervision humaine sur les packages installés. Confiance aveugle dans les registres open-source sans vérification de l’intégrité du code. Délai de détection variable : certains packages compromis ont été actifs jusqu’à 13 heures, d’autres retirés en 15 minutes. Le groupe infecte de nouveaux packages quasi quotidiennement et valide les compromissions en moins de 24 heures. 📌 Type d’article Analyse de menace approfondie à destination des professionnels de la cybersécurité et de la threat intelligence, visant à documenter les TTPs, l’attribution et l’impact de la campagne TeamPCP sur l’écosystème open-source. ...

🗓️ Contexte Le 8 juin 2026, StepSecurity publie une analyse technique détaillée de la campagne Hades, une opération de compromission de la chaîne d’approvisionnement Python ciblant l’écosystème PyPI. Cette campagne est attribuée à l’acteur Miasma, déjà documenté dans des attaques npm précédentes. 📦 Packages compromis Au total, 27 packages PyPI sont identifiés comme compromis, couvrant les domaines de la bioinformatique, du machine learning graphique et de l’analyse génotype-phénotype. Parmi les plus notables : ...

🗓️ Contexte Source : HivePro Threat Advisory, publié le 25 mai 2026. Cet article documente l’escalade majeure de la campagne de supply chain du groupe TeamPCP (alias PCPcat, ShellForce, DeadCatx3, CipherForce, Persy_PCP, UNC6780) au cours du mois de mai 2026. 🎯 Acteur de menace TeamPCP est un groupe à motivation financière, actif depuis fin 2025, initialement documenté comme un crew d’exploitation cloud-native ciblant des APIs Docker et clusters Kubernetes exposés. En mars 2026, il a pivoté vers une campagne de supply chain en cascade ciblant Trivy, Checkmarx KICS, LiteLLM, Telnyx et des dizaines de packages npm. ...

🎯 Contexte Source : Tenable Research Special Operations (RSO), publiée le 21 mai 2026. L’article présente une FAQ détaillée sur la campagne Mini Shai-Hulud, quatrième génération d’un ver auto-propagant opéré par le groupe TeamPCP, actif depuis septembre 2025 dans les écosystèmes npm et PyPI. 🐛 Évolution du ver Shai-Hulud Quatre générations ont été identifiées : Shai-Hulud (septembre 2025) : premier malware auto-réplicant observé dans npm, vol de tokens mainteneur SHA1-Hulud (novembre 2025) : fonctionnalité wiper et collecte de credentials améliorée SANDWORM_MODE (mars 2026) : ciblage adaptatif avec énumération des pipelines CI/CD Mini Shai-Hulud (avril 2026) : variante la plus destructrice, active au moment de la publication ⚙️ Capacités techniques de Mini Shai-Hulud Contournement des attestations SLSA Build Level 3 via Sigstore (première mondiale) Extraction de tokens OIDC depuis la mémoire du processus GitHub Actions runner Hooks de persistance ciblant les agents de codage IA et les IDEs développeurs Propagation cross-écosystème (npm et PyPI) Triple exfiltration redondante : serveur C2 dédié, réseau Session (décentralisé), dead drops via GitHub API 🔗 Trois chaînes d’attaque Vol de token + publication automatisée massive : hook preinstall téléchargeant le runtime Bun pour exécuter un payload obfusqué Hijack OIDC avec contournement de provenance (utilisé dans la vague TanStack) : extraction de token OIDC depuis la mémoire du runner, publication via le pipeline légitime avec attestation cryptographique valide Injection PyPI : dropper injecté dans le fichier d’initialisation du package, téléchargeant un payload depuis une infrastructure contrôlée par l’attaquant 🏛️ CVE associée CVE-2026-45321 (CVSSv3 : 9.6, VPR : 9.2) : injection de code malveillant dans 42 packages @tanstack via trois failles chaînées dans la configuration GitHub Actions de TanStack. L’attaquant a créé un fork sous un compte renommé, ouvert une PR déclenchant un workflow pull_request_target, empoisonné le cache GitHub Actions, puis extrait des tokens OIDC pour publier 84 versions malveillantes en moins de six minutes avec des attestations SLSA valides. ...

🗓️ Contexte Source : BleepingComputer, publié le 14 mai 2026. L’article rapporte une tentative d’extorsion par le groupe cybercriminel TeamPCP à l’encontre de Mistral AI, société française spécialisée dans les grands modèles de langage (LLM). 🎯 Incident L’attaque s’inscrit dans le cadre de l’opération Mini Shai-Hulud, une attaque de la chaîne d’approvisionnement logicielle qui a débuté par la compromission de packages officiels de TanStack et Mistral AI via des identifiants CI/CD volés et des workflows légitimes détournés. ...

🗓️ Contexte Le 11 mai 2026, Wiz publie une analyse technique détaillant une attaque coordonnée de supply chain menée par le groupe TeamPCP contre les écosystèmes npm et PyPI. Cette campagne, désignée Mini Shai-Hulud, représente une évolution des opérations précédentes du même acteur (SAP, Checkmarx, Bitwarden, Lightning, Intercom, Trivy). 🎯 Packages compromis Les namespaces et packages impactés incluent : @tanstack : dont @tanstack/react-router (~12 millions de téléchargements hebdomadaires) @uipath : outils d’automatisation enterprise (apollo-core, CLI, agent SDKs) @mistralai/mistralai : client TypeScript officiel de Mistral AI guardrails-ai (PyPI) : package Python de guardrails LLM mistralai (PyPI) Plusieurs dizaines d’autres packages npm (voir liste complète) 🔓 Vecteur d’infection TanStack (chaîne de 3 vulnérabilités GitHub Actions) L’attaquant crée un fork renommé du dépôt TanStack/router (zblgg/configuration) pour échapper aux recherches de forks Ouverture d’une pull request déclenchant un workflow pull_request_target qui exécute le code du fork et empoisonne le cache GitHub Actions (pnpm store) Lors de la fusion de PRs légitimes, le workflow de release restaure le cache empoisonné ; des binaires contrôlés par l’attaquant extraient des tokens OIDC directement depuis la mémoire du runner (/proc/<pid>/mem) Publication de versions malveillantes sans vol de credentials npm 🐛 Vecteurs d’infection dans les packages @tanstack : entrée optionalDependencies pointant vers un commit orphelin + fichier obfusqué router_init.js (~2,3 Mo) dans le tarball @uipath : script preinstall (node setup.mjs) téléchargeant le runtime Bun pour exécuter le payload — même mécanisme que le compromis SAP précédent PyPI : 13 lignes de code téléchargeant et exécutant git-tanstack[.]com/tmp/transformers.pyz 💀 Comportement du payload Le payload est un credential stealer auto-propagant (worm) ciblant : ...

🎯 Contexte L’article est publié le 25 avril 2026 par StepSecurity, société spécialisée en sécurité de la chaîne d’approvisionnement logicielle. Il documente la compromission du package Python elementary-data (outil de data observability pour dbt) via une attaque de supply chain ciblant l’infrastructure CI/CD du projet. 🔓 Vecteur d’attaque : injection de script GitHub Actions L’attaquant, opérant depuis le compte GitHub realtungtungtungsahur (créé le 22 avril 2026), a exploité une vulnérabilité d’injection de script dans le workflow .github/workflows/update_pylon_issue.yml. Ce workflow interpolait directement ${{ github.event.comment.body }} dans un bloc run:, permettant l’exécution de code arbitraire via un simple commentaire sur la PR #2147. ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM. 🏢 Victime : Mercor Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes. ...

📌 Contexte Le 27 mars 2026, Telnyx publie un avis de sécurité officiel concernant la compromission temporaire de son SDK Python sur PyPI, survenue le 27 mars 2026. Cet incident s’inscrit dans une campagne supply chain multi-semaines ayant également ciblé Trivy (19 mars 2026), LiteLLM (24 mars 2026) et Checkmarx. 🎯 Déroulement de l’incident Deux versions non autorisées du package telnyx ont été publiées sur PyPI : telnyx==4.87.1 : publiée à 03:51:28 UTC le 27 mars 2026 telnyx==4.87.2 : publiée peu après Les deux versions contenaient du code malveillant. Elles ont été mises en quarantaine à 10:13 UTC le même jour, soit environ 6h22 après la première publication. Les deux packages ont depuis été retirés de PyPI. ...