TeamPCP

🔍 Contexte Publié le 29 avril 2026 par Wiz (Benjamin Read, Merav Bar, Shay Berkovich, Gili Tikochinski), cet article documente une opération de supply chain active baptisée “Mini Shai Hulud”, attribuée avec haute confiance au groupe TeamPCP. 🎯 Mécanisme d’attaque Des versions malveillantes de packages npm légitimes de l’écosystème SAP ont été publiées avec un script preinstall injectant setup.mjs, exécuté automatiquement lors de npm install. Ce dropper télécharge le runtime Bun puis exécute un payload obfusqué (execution.js), permettant l’exécution de code attaquant avant la fin de l’installation. ...

🔍 Contexte Publié le 28 avril 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie du ransomware VECT 2.0, un service Ransomware-as-a-Service (RaaS) apparu pour la première fois en décembre 2025 sur un forum cybercriminel russophone. CPR a obtenu un accès au panneau d’affiliation et au builder via un compte BreachForums. 🧩 Présentation de VECT VECT est un ransomware écrit en C++, ciblant trois plateformes : Windows, Linux et VMware ESXi. La version 2.0 a été publiée en février 2026. Le groupe a annoncé des partenariats avec : ...

🗓️ Contexte Source : SecurityWeek, publié le 24 avril 2026. L’article rapporte une attaque de type supply chain ciblant le package NPM officiel de Bitwarden, gestionnaire de mots de passe open source largement utilisé. 🎯 Nature de l’incident L’attaque est décrite comme une compromission de la chaîne d’approvisionnement logicielle (supply chain attack) affectant directement le registre NPM de Bitwarden. L’incident est rattaché à une nouvelle campagne Checkmarx de type supply chain. ...

🔍 Contexte Sophos X-Ops a publié le 24 avril 2026 une analyse technique d’une double attaque de type supply chain survenue le 22 avril 2026, ciblant simultanément deux outils largement utilisés dans les environnements de développement : Checkmarx KICS (scanner de sécurité IaC) et Bitwarden CLI (gestionnaire de mots de passe en ligne de commande). 🎯 Incident 1 : Checkmarx KICS Un attaquant a poussé des artefacts malveillants sur trois canaux de distribution officiels : ...

🔍 Contexte Publié le 22 avril 2026 par JFrog Security Research, cet article documente la compromission du package PyPI xinference (versions 2.6.0, 2.6.1 et 2.6.2) dans le cadre d’une campagne multi-écosystème attribuée au groupe TeamPCP. Les versions malveillantes ont été retirées (yanked) par les mainteneurs après signalement d’utilisateurs. 🎯 Nature de l’attaque Il ne s’agit pas d’un typosquatting mais d’un détournement de la ligne de release légitime de xinference. Le code malveillant est injecté dans xinference/__init__.py, ce qui le rend exécuté dès l’import du package. Un payload base64 est passé à un sous-processus Python détaché (subprocess.Popen) qui s’exécute en arrière-plan, dissimulé du processus principal. ...

🔍 Contexte Publié le 6 avril 2026 par Unit 42 (Palo Alto Networks), cet article de recherche analyse l’évolution des menaces ciblant les environnements Kubernetes en 2025-2026. La télémétrie de l’éditeur révèle une augmentation de 282% des opérations liées au vol de tokens Kubernetes sur un an, avec le secteur IT représentant 78% des activités observées. 📊 Cas 1 : Vol de tokens et mouvement latéral dans une plateforme crypto Mi-2025, Unit 42 documente une intrusion dans une bourse de cryptomonnaies attribuée au groupe nord-coréen Slow Pisces (alias Lazarus, TraderTraitor). L’attaque suit le schéma suivant : ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement causée par la compromission de la chaîne d’approvisionnement du scanner de vulnérabilités Trivy. 🔓 Vecteur d’attaque initial Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission du pipeline GitHub de Trivy. Ce plugin a permis le vol de credentials CI/CD depuis les environnements de build des organisations utilisant l’outil, dont Cisco. ...

🏛️ Contexte Le 2 avril 2026, CERT-EU publie un post-mortem détaillé sur un incident de cybersécurité majeur ayant affecté la plateforme web publique de la Commission européenne (europa.eu), hébergée sur Amazon Web Services (AWS). L’incident a été notifié à CERT-EU le 25 mars 2026, conformément à l’article 21 du Règlement (UE, Euratom) 2023/2841. 🔓 Vecteur d’accès initial L’accès initial a été obtenu le 19 mars 2026 via la compromission de la chaîne d’approvisionnement de Trivy, un outil de scan de vulnérabilités, attribuée avec haute confiance au groupe TeamPCP (attribution publique par Aqua Security). La Commission européenne utilisait une version compromise de Trivy reçue via ses canaux normaux de mise à jour logicielle. ...

🗓️ Contexte Source : BleepingComputer, article de Lawrence Abrams publié le 31 mars 2026. L’article rapporte une violation de l’environnement de développement interne de Cisco, directement liée à l’attaque supply chain ayant compromis le scanner de vulnérabilités Trivy. 🔓 Vecteur d’intrusion Les attaquants ont exploité un plugin GitHub Action malveillant introduit lors de la compromission de Trivy pour dérober des identifiants CI/CD de Cisco. Ces credentials ont ensuite permis l’accès à l’environnement de build et de développement de l’entreprise, impactant des dizaines d’appareils, dont des postes de travail de développeurs et des machines de laboratoire. ...

🗓️ Contexte Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM. 🏢 Victime : Mercor Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes. ...