Entre febrero y marzo del 2026, el grupo de amenazas TeamPCP ejecutó una serie de ataques en cadena bien orquestados y multi-etapa dirigidos a infraestructuras de seguridad y desarrollo. Comprometieron herramientas de seguridad populares y ampliamente utilizadas como Trivy (escáner de vulnerabilidades), KICS (escáner de infraestructura como código), LiteLLM (gateway de modelos de IA), junto con el SDK oficial de Telnyx. Estos ataques estratégicos implantaron malware infostealer sofisticado en repositorios GitHub Actions y registros PyPI, exfiltrando datos sumamente sensibles como tokens de acceso a nubes, secretos de Kubernetes, y credenciales de proveedores críticos. El malware conocido como CanisterWorm fue diseñado para persistencia a largo plazo y movimiento lateral. La sofisticación indica un ataque dirigido contra la cadena de suministro completa de herramientas de desarrollo y seguridad.
Weaponizing the Protectors: TeamPCP’s Multi-Stage Supply Chain Attack on Security Infrastructure
Summary: TeamPCP ejecutó una serie de ataques en cadena que comprometieron herramientas de seguridad populares, introduciendo malware que exfiltraba datos sensibles.
Key facts
- TeamPCP comprometió herramientas de seguridad y desarrollo de software populares.
- Introdujeron malware infostealer en GitHub Actions y PyPI.
- Exfiltraron datos sensibles como tokens de acceso a nubes y secretos de Kubernetes.
Why it matters
Estos ataques ponen en peligro la infraestructura de seguridad y el software utilizado por organizaciones de diversos sectores, exponiendo credenciales sensibles y permitiendo accesos ilícitos.