Les attaques par chaîne d'approvisionnement explosent avec TeamPCP volant des identifiants

Une nouvelle alerte du FBI révèle comment un groupe de cybercriminels, TeamPCP, a détourné des outils de développement légitimes pour voler des identifiants cloud à grande échelle. Plutôt que de cibler des utilisateurs isolés, le groupe a compromis des logiciels largement utilisés — incluant des scanners de conteneurs, des outils d'analyse statique et des bibliothèques d'API d'IA — avant de diffuser des mises à jour malveillantes via les canaux habituels. Une fois intégrés dans les pipelines CI/CD, ces outils corrompus installaient des malwares volants d'identifiants et des portes dérobées persistantes, sans être détectés.
L'anatomie d'une attaque par chaîne d'approvisionnement
La méthode de TeamPCP est à la fois simple et efficace : injecter du code malveillant dans des paquets légitimes, publier les versions altérées via des canaux de distribution standards, puis laisser les systèmes de compilation automatisés les récupérer. L'alerte FLASH du FBI met en lumière quatre outils modifiés — Trivy, KICS, LiteLLM et le SDK Python de Telnyx — chacun couramment intégré dans les flux de travail des entreprises. En corrompant une seule mise à jour, le groupe obtient un accès simultané à d'innombrables organisations.
Des vers qui se propagent seuls
Le groupe a déployé quatre familles de malwares, mais deux se distinguent par leur capacité à se répliquer automatiquement. Mini Shai-Hulud et sa variante Miasma n'infectent pas seulement les cibles initiales, mais se répandent de manière autonome dans des registres open source comme npm et PyPI, récoltant des identifiants et empoisonnant des fichiers de configuration au passage. Le FBI a également identifié deux dépôts GitHub — tpcp-docs et docs-tpcp — créés par le malware à l'aide d'identifiants volés, signalant une escalade dans les tactiques du groupe.
Extorsion et collaboration amplifient la menace
Au-delà du vol d'identifiants, TeamPCP s'est livré à de l'extorsion, publiant les noms des victimes sur un site de fuite publique et menaçant de divulguer des données volées. Le FBI met en garde : les activités du groupe dépassent les simples brèches techniques, exerçant une pression supplémentaire sur les organisations affectées pour qu'elles cèdent à leurs exigences. Cette approche multidimensionnelle souligne l'évolution de la sophistication des menaces par chaîne d'approvisionnement, où les attaquants exploitent la confiance dans les écosystèmes logiciels pour maximiser leur impact.
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

