TeamPCP создала автоматизированный конвейер атак на цепочки поставок: три волны Shai-Hulud, взлом GitHub и партнёрство с вымогателями Vect

В основе операций TeamPCP лежит червь Shai-Hulud, способный автономно распространяться через украденные токены для публикации пакетов в реестрах npm и PyPI. Первая волна началась 14 сентября 2025 года. Она поразила около 187 пакетов за три дня через скомпрометированный пакет rxnt-authentication. Вторая волна, запущенная 24 ноября, использовала украденные токены от @zapier, @asyncapi и других. Злоумышленники добавили в червя функцию вайпера, который уничтожает домашнюю директорию жертвы, если токен не удаётся украсть. Третья волна получила название Mini Shai-Hulud. Она обошла защиту на основе протокола OIDC (OpenID Connect), внедрившись в пакеты SAP и TanStack через отравление кэша CI/CD. Согласно публикации на форуме PEDIY, в мае 2026 года за 22 минуты было опубликовано 639 вредоносных версий пакетов. Эти цифры не подтверждены независимыми источниками.

Ключевым событием стала компрометация репозитория Trivy компании Aqua Security. Злоумышленники использовали неправильно настроенный GitHub Actions с параметром pull_request_target. Они получили доступ к сервисному аккаунту aqua-bot, удалили 178 релизов и приватизировали репозиторий. Затем через заражённое расширение VS Code атакующие проникли во внутреннюю инфраструктуру GitHub. Они похитили около 3 800 закрытых репозиториев. TeamPCP выставила данные на продажу за 50 000 долларов. Уже через 48 часов группировка передала их LAPSUS$, которая перепродала данные за 95 000 долларов. Такое разделение труда стало отличительной чертой новой экосистемы. TeamPCP добывает доступ, LAPSUS$ монетизирует.

25 марта 2026 года программа-вымогатель Vect объявила о партнёрстве с TeamPCP и форумом BreachForums. Каждому из 300 тысяч участников форума пообещали личный ключ аффилиата. По оценкам Dataminr, это первая попытка массового рекрутинга в вымогательство. На практике техническая реализация Vect оказалась слабой. Ошибка в генерации nonce для шифрования делает невозможным расшифровку файлов размером более 128 килобайт. К концу апреля на утечка-сайте Vect значилось всего две жертвы, полученных через доступ TeamPCP. Тем не менее сам принцип задаёт новую угрозу для разработчиков. Доступ к цепочке поставок превращается в массовое вымогательство.

В мае 2026 года TeamPCP опубликовала исходный код Shai-Hulud на GitHub. Группировка также запустила "конкурс" на BreachForums, предлагая покупать у участников скомпрометированный доступ. Результат не заставил себя ждать. 19 мая произошла массовая атака на пакеты @antv. Злоумышленники опубликовали 639 вредоносных версий. По данным исследователей, это была работа подражателя, использующего открытый код. Ещё один вариант червя, Miasma, не требует командно-контрольного сервера. Он получает команды из публичных коммитов GitHub. Miasma способен заражать инструменты ИИ-разработки, включая Claude, Gemini, Cursor и Copilot.

Внутри самой группы наметилась фрагментация. Исследователи SentinelLabs обнаружили конкурирующего червя PCPJack. Он активно удаляет инструменты TeamPCP с заражённых хостов. По оценкам, его создатель может быть бывшим участником TeamPCP. Это свидетельствует о возможных внутренних конфликтах. Даже если группа распадётся, открытый код и обученные подражатели продолжат атаки. Разработчикам необходимо пересмотреть свои CI/CD-процессы. Нужно отказаться от постоянных токенов в пользу OIDC с жёстким ограничением веток. Следует настроить белые списки расширений в VS Code и проверять происхождение скачиваемых пакетов. Инцидент с TeamPCP показывает, что цепочка поставок стала основным вектором атак. Её защита требует системного подхода.

Domains

• t.m-kosche.com

Onion Domains

• breach5yz2b5lepmq4gaqwcon3jippw3bislhvvdavem5git55sy2nid.onion
• vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onion