TeamPCP Supply Chain Campaign: Update 002 - Telnyx PyPI Compromise, Vect Ransomware Mass Affiliate Program, and First Named Victim Claim, (Fri, Mar 27th)

1 minute de lecture

Mis à jour : March 27, 2026

Escalade de la campagne TeamPCP : Compromissions PyPI et alliance avec le ransomware Vect

La campagne d’attaques sur la chaîne d’approvisionnement logicielle menée par TeamPCP s’intensifie, passant du simple vol de privilèges à une industrialisation du déploiement de ransomwares via un partenariat avec Vect et BreachForums.

Points clés :

Compromission du SDK Telnyx (PyPI) : Les versions 4.87.1 et 4.87.2 du package telnyx ont été compromises via des identifiants dérobés. L’attaquant utilise une nouvelle technique de stéganographie via des fichiers .wav pour dissimuler des charges utiles.
Alliance cybercriminelle : TeamPCP fournit les accès initiaux (issus de compromissions de la chaîne d’approvisionnement), tandis que Vect fournit les outils d’extorsion à une base potentielle de 300 000 affiliés sur BreachForums.
Revendication LAPSUS$ : Le groupe LAPSUS$ revendique le vol de 3 Go de données chez AstraZeneca, marquant la première victime nommée de cette campagne.
Vecteur d’attaque : La compromission initiale de LiteLLM a été rendue possible par le piratage du compte GitHub personnel du CEO de l’entreprise.

Vulnérabilités et CVE associées :

CVE-2026-33634 (Trivy) : RCE dans l’outil Trivy. Date limite de remédiation CISA : 8 avril 2026.
CVE-2026-33017 (Langflow) : RCE non authentifiée dans Langflow (< 1.8.2). Date limite de remédiation CISA : 9 avril 2026.

Recommandations :

Audits immédiats : Vérifiez vos environnements Python pour les versions compromises de telnyx (4.87.1, 4.87.2) et recherchez les fichiers .wav suspects ou le binaire msbuild.exe dans les dossiers de démarrage Windows.
Rotation des identifiants : Toute organisation ayant utilisé des composants liés à la campagne (Trivy, LiteLLM, Telnyx) doit considérer ses identifiants comme compromis et procéder à une rotation immédiate et généralisée.
Indicateurs de compromission (IoC) : Surveillez le domaine C2 models.litellm.cloud, le chemin de persistance ~/.config/sysmon/sysmon.py, la présence de fichiers .pth anormaux dans les site-packages, ainsi que les pods Kubernetes nommés node-setup-*.
Sécurisation CI/CD : Appliquez systématiquement l’épinglage des dépendances via des hashs de commit complets (SHA) dans vos workflows GitHub Actions pour contrer la réécriture de tags.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

TeamPCP Supply Chain Campaign: Update 002 - Telnyx PyPI Compromise, Vect Ransomware Mass Affiliate Program, and First Named Victim Claim, (Fri, Mar 27th)

Escalade de la campagne TeamPCP : Compromissions PyPI et alliance avec le ransomware Vect

Partager sur

Vous pourriez aimer

Windows 11 KB5079391 update rolls out Smart App Control improvements

Optimisation de la sécurité et stabilité pour Windows 11

We Are At War

Cybersécurité : L’ère des conflits hybrides

TeamPCP Pushes Malicious Telnyx Versions to PyPI, Hides Stealer in WAV Files

Compromission de la supply chain Python : Le package Telnyx piégé par TeamPCP

Open VSX Bug Let Malicious VS Code Extensions Bypass Pre-Publish Security Checks

Vulnérabilité “Open Sesame” : Contournement des contrôles de sécurité sur Open VSX