TeamPCP Supply Chain Campaign: Update 007 - Cisco Source Code Stolen via Trivy-Linked Breach, Google GTIG Tracks TeamPCP as UNC6780, and CISA KEV Deadline Arrives with No Standalone Advisory, (Wed, Apr 8th)

1 minute de lecture

Mis à jour : April 08, 2026

Campagne de supply chain TeamPCP (UNC6780) : Analyse et État des Lieux

La campagne TeamPCP, désormais officiellement désignée UNC6780 par Google (GTIG), se concentre actuellement sur la monétisation des identifiants volés plutôt que sur de nouvelles compromissions de la chaîne d’approvisionnement (pause observée depuis 24 jours). Le groupe utilise le malware SANDCLOCK pour exfiltrer des données.

Faits marquants

Cisco : Environnement de développement compromis via le plugin GitHub Action corrompu de Trivy. Plus de 300 dépôts (incluant du code source AI et des données sensibles de clients institutionnels/gouvernementaux) et des clés AWS ont été exfiltrés.
ShinyHunters : Le groupe poursuit des activités parallèles, notamment une campagne visant Snowflake via des jetons d’authentification Anodot, tout en exploitant les accès issus de la campagne TeamPCP.
CipherForce : Inactivité prolongée des sites de fuite (44 jours), suggérant soit des troubles internes (“chasse aux taupes”), soit des mesures de sécurité opérationnelle.
CISA : La date limite du 8 avril pour le correctif CVE-2026-33634 est atteinte, bien qu’aucune directive d’urgence spécifique à la campagne n’ait été publiée par CISA.

Vulnérabilités clés

CVE-2026-33634 : Compromission de la chaîne d’approvisionnement via Trivy. Cette vulnérabilité a permis l’accès initial aux environnements de développement et le vol massif d’identifiants.

Recommandations stratégiques

Remédiation immédiate : Les organisations doivent appliquer les correctifs (Trivy v0.69.2+, trivy-action v0.35.0, setup-trivy v0.2.6).
Rotation des secrets : Le simple correctif est insuffisant. Il est impératif d’effectuer une rotation complète de tous les secrets et identifiants qui auraient pu être exposés durant la fenêtre de compromission (19-27 mars).
Investigation : Les entreprises partenaires ou clientes de Cisco doivent contacter l’éditeur pour vérifier si leurs dépôts ou artefacts de build ont été compromis.
Monitoring : Utiliser les indicateurs de compromission liés à UNC6780 et SANDCLOCK au sein des outils de sécurité (Chronicle, VirusTotal, Mandiant Advantage).
Veille : Surveiller les fuites de données potentielles, notamment concernant le dossier Sportradar, dont l’échéance de publication est imminente.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

TeamPCP Supply Chain Campaign: Update 007 - Cisco Source Code Stolen via Trivy-Linked Breach, Google GTIG Tracks TeamPCP as UNC6780, and CISA KEV Deadline Arrives with No Standalone Advisory, (Wed, Apr 8th)

Campagne de supply chain TeamPCP (UNC6780) : Analyse et État des Lieux

Faits marquants

Vulnérabilités clés

Recommandations stratégiques

Partager sur

Vous pourriez aimer

Snowflake customers hit in data theft attacks after SaaS integrator breach

Compromission de la chaîne d’approvisionnement : Fuites de données via Anodot

Shrinking the IAM Attack Surface through Identity Visibility and Intelligence Platforms (IVIP)

Réduire la surface d’attaque IAM par l’observabilité des identités

Python Supply-Chain Compromise

Compromission de la chaîne d’approvisionnement Python : Le cas LiteLLM

New macOS stealer campaign uses Script Editor in ClickFix attack

Nouvelle campagne de vol de données sur macOS via « ClickFix »