TeamPCP Supply Chain Campaign: Update 001 - Checkmarx Scope Wider Than Reported, CISA KEV Entry, and Detection Tools Available, (Thu, Mar 26th)

1 minute de lecture

Mis à jour : March 26, 2026

Analyse de la campagne de supply chain TeamPCP : Extension des compromissions et outils de détection

La campagne « TeamPCP » continue de cibler systématiquement les outils de sécurité, avec de nouvelles révélations sur l’ampleur des compromissions et l’ajout de vulnérabilités critiques au catalogue CISA KEV.

Points clés :

Checkmarx ast-github-action : Contrairement aux rapports initiaux, les 91 versions (tags) de l’outil ont été compromises. Chaque version a été individuellement corrompue pour dérober des identifiants.
LiteLLM : Bien que la quarantaine sur PyPI soit levée, l’éditeur a gelé toute nouvelle version. La version v1.82.6.rc.2 est la dernière considérée comme sûre.
Stratégie de l’attaquant : TeamPCP cible délibérément les outils de sécurité (Trivy, KICS, Checkmarx) pour maximiser l’impact sur les chaînes d’approvisionnement logicielles.

Vulnérabilités et menaces :

CVE-2026-33634 (CVSS 9.4) : Ajoutée au catalogue KEV de la CISA. Activement exploitée, elle nécessite une remédiation urgente.
Compromission d’identifiants : Toute utilisation des outils infectés (Checkmarx ast-github-action entre le 23 mars, 12:58 et 19:16 UTC, ou LiteLLM versions 1.82.7/1.82.8) doit être traitée comme une fuite de secrets.

Recommandations :

Audit CI/CD : Rechercher toute exécution de checkmarx/ast-github-action durant la fenêtre de compromission du 23 mars. Révoquer et renouveler immédiatement tous les secrets accessibles par ces workflows.
Mise à jour des outils :
- Trivy : Utiliser la version ≥ v0.69.2 (binaire) ou v0.35.0 (action).
- Checkmarx : Migrer vers la version v2.3.33.
Détection : Utiliser les outils communautaires disponibles pour scanner les environnements :
- jthack/litellm-vuln-detector pour détecter les backdoors et les pods malveillants.
- Scripts de détection des indicateurs TeamPCP.
Gestion des secrets : Considérer comme compromis tout identifiant ou jeton ayant transité par les systèmes où les versions infectées de LiteLLM ont été installées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

TeamPCP Supply Chain Campaign: Update 001 - Checkmarx Scope Wider Than Reported, CISA KEV Entry, and Detection Tools Available, (Thu, Mar 26th)

Analyse de la campagne de supply chain TeamPCP : Extension des compromissions et outils de détection

Partager sur

Vous pourriez aimer

WhatsApp rolls out more AI features, iOS multi-account support

Nouvelles fonctionnalités WhatsApp : IA, gestion multi-comptes et renforcement de la sécurité

WebRTC Skimmer Bypasses CSP to Steal Payment Data from E-Commerce Sites

Évolution des skimmers e-commerce : contournement des CSP via WebRTC

[Webinar] Stop Guessing. Learn to Validate Your Defenses Against Real Attacks

L’importance de la validation continue de la posture de sécurité

UK sanctions Xinbi marketplace linked to Asian scam centers

Sanctions britanniques contre l’infrastructure criminelle Xinbi