✨︎ Resumen (TL;DR):
- El grupo TeamPCP vulneró herramientas de desarrollo clave como Trivy, Checkmarx y LiteLLM.
- Los atacantes extrajeron más de 300 gigabytes de datos corporativos de más de 1,000 entornos en la nube.
- Especialistas exigen a los equipos de seguridad actualizar software y rotar llaves SSH para frenar el efecto bola de nieve.
El grupo de amenazas TeamPCP ejecutó un ataque en cascada a la cadena de suministro de herramientas de código abierto como Trivy, Checkmarx y LiteLLM. La campaña de inyección de malware comprometió más de 1,000 entornos en la nube y extrajo credenciales clave en lo que expertos consideran uno de los hackeos CI/CD más graves hasta la fecha.
La firma de seguridad Mandiant vinculó esta operación con el grupo de extorsión Lapsus$. Los atacantes aprovecharon tokens de acceso robados en GitHub para inyectar malware en los pipelines de automatización. Su objetivo principal fue recolectar llaves SSH, credenciales de AWS, Azure y GCP, además de secretos de Kubernetes y billeteras de criptomonedas.
Todo comenzó el 19 de marzo de 2026. La investigación de Wiz Research revela que TeamPCP vulneró el escáner Trivy de Aqua Security al explotar un token de acceso personal con rotación incompleta. Los hackers forzaron la publicación de código malicioso en 75 de 76 etiquetas de versión del repositorio e introdujeron un archivo binario infectado en la versión 0.69.4.
[TeamPCP Cloud stealer] es un malware recolector de credenciales que extrae secretos de la memoria de los ejecutores de integración continua y envía los paquetes encriptados a dominios falsos. Para el 23 de marzo, la información robada a Trivy permitió a los hackers secuestrar las GitHub Actions de KICS, una herramienta de Checkmarx, inyectando la misma carga útil en 35 etiquetas.
Efecto dominó en la infraestructura de inteligencia artificial
El ataque alcanzó a LiteLLM el 24 de marzo. Este paquete de Python, que registra unos 95 millones de descargas mensuales, funciona como base en la infraestructura de IA de compañías como Stripe y Netflix.
- Los hackers usaron tokens robados del propio pipeline de LiteLLM (basado en Trivy) para publicar las versiones maliciosas 1.82.7 y 1.82.8 en PyPI.
- La versión 1.82.8 incluía un mecanismo de persistencia que ejecuta el malware cada vez que inicia Python.
- El robo superó los 300 gigabytes de datos extraídos.
Charles Carmakal, CTO de Mandiant Consulting, determinó que el grupo está canalizando el acceso robado a redes criminales más amplias. En Telegram, TeamPCP se burló de las víctimas: “Estas compañías fueron construidas para proteger sus cadenas de suministro y sin embargo ni siquiera pueden proteger las suyas”.
Ben Read, investigador principal de Wiz, recordó que LiteLLM opera en el 36 por ciento de los entornos en la nube. “Estamos viendo una convergencia peligrosa entre atacantes de la cadena de suministro y grupos de extorsión de alto perfil como LAPSUS$”, explicó Read. “Al moverse horizontalmente a través del ecosistema, están creando un ‘efecto bola de nieve’. Este no es un incidente aislado; es una campaña sistémica que requiere que los equipos de seguridad tomen medidas y probablemente seguirá expandiéndose”.
La firma Endor Labs advirtió que los ataques continuarán, ya que cada red infiltrada revela las llaves para el siguiente objetivo. Las empresas que utilizaron estas herramientas entre el 19 y el 24 de marzo deben rotar inmediatamente sus credenciales en la nube e instalar las versiones limpias: Trivy 0.69.7, Checkmarx plugins 1.10.0 o 2.56.0, y LiteLLM 1.82.9.
