TeamPCP

🔍 Contexte Publié le 7 mai 2026 par SentinelLABS (Alex Delamotte), cet article présente l’analyse technique complète de PCPJack, un framework de vol d’identifiants cloud découvert le 28 avril 2026 via une règle de chasse VirusTotal orientée Kubernetes. 🎯 Description de la menace PCPJack est un framework modulaire en Python conçu pour se propager en ver sur l’infrastructure cloud exposée. Sa première action distinctive est d’évincer et supprimer les artefacts associés au groupe TeamPCP (PCPCat), avant d’installer ses propres outils. L’acteur derrière PCPJack est potentiellement un ancien opérateur de TeamPCP ou quelqu’un de très familier avec leurs outils. ...

🗓️ Contexte Source : Ars Technica, article de Dan Goodin publié le 29 avril 2026. L’article relate une série d’incidents en cascade sur une période de 40 jours, impliquant plusieurs entreprises de cybersécurité et deux groupes d’attaquants distincts. 🔗 Chronologie des incidents 19 mars 2026 : Compromission du compte GitHub de Trivy, scanner de vulnérabilités open source. Le groupe TeamPCP pousse du malware vers les utilisateurs de Trivy, dont Checkmarx. Le malware cible des tokens de dépôts, clés SSH et autres credentials. 23 mars 2026 : Le compte GitHub de Checkmarx est compromis à son tour et commence à distribuer du malware à ses propres utilisateurs. Checkmarx détecte et tente de remédier à la brèche. 30 mars 2026 : Date de la donnée exfiltrée et ultérieurement publiée par Lapsu$, indiquant que l’accès persistait malgré les tentatives de remédiation. 22 avril 2026 : Nouvelle vague de malware poussée depuis le compte GitHub de Checkmarx. Le dépôt Docker Hub officiel Checkmarx/kics publie également des packages malveillants. Bitwarden est aussi touché : un package malveillant est distribué via npm (@bitwarden/cli@2026.4.0) entre 17h57 et 19h30 (ET). Fin avril 2026 : Lapsu$ publie des données privées de Checkmarx sur le dark web. 🎯 Victimes et vecteurs Trivy : point d’entrée initial (compte GitHub compromis) Checkmarx : victime de la supply-chain Trivy, puis vecteur de distribution vers ses propres clients ; victime de fuite de données par Lapsu$ Bitwarden : victime de la même campagne, via le package npm @bitwarden/cli@2026.4.0 👥 Acteurs de la menace TeamPCP : groupe access-broker, responsable de la compromission de Trivy et de la collecte de credentials. Cible prioritairement les outils disposant d’accès privilégiés. Lapsu$ : groupe ransomware, principalement composé de jeunes adultes, connu pour ses intrusions dans de grandes entreprises et ses provocations publiques. A acquis les accès de Checkmarx auprès de TeamPCP. 🔧 Infrastructure commune Selon la société Socket, le payload utilisé contre Bitwarden partage le même endpoint C2 et la même infrastructure core que le malware utilisé contre Checkmarx, établissant le lien avec la campagne Trivy. ...

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...

🗓️ Contexte Source : SecurityWeek, publié le 24 avril 2026. L’article rapporte une attaque de type supply chain ciblant le package NPM officiel de Bitwarden, gestionnaire de mots de passe open source largement utilisé. 🎯 Nature de l’incident L’attaque est décrite comme une compromission de la chaîne d’approvisionnement logicielle (supply chain attack) affectant directement le registre NPM de Bitwarden. L’incident est rattaché à une nouvelle campagne Checkmarx de type supply chain. ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🔍 Contexte Publié le 6 avril 2026 par Unit 42 (Palo Alto Networks), cet article de recherche analyse l’évolution des menaces ciblant les environnements Kubernetes en 2025-2026. La télémétrie de l’éditeur révèle une augmentation de 282% des opérations liées au vol de tokens Kubernetes sur un an, avec le secteur IT représentant 78% des activités observées. 📊 Cas 1 : Vol de tokens et mouvement latéral dans une plateforme crypto Mi-2025, Unit 42 documente une intrusion dans une bourse de cryptomonnaies attribuée au groupe nord-coréen Slow Pisces (alias Lazarus, TraderTraitor). L’attaque suit le schéma suivant : ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy. 🔓 Vecteur d’attaque initial Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco. ...

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...