Le groupe TeamPCP exploite des credentials volés lors d'attaques supply chain pour compromettre des environnements AWS, Azure et SaaS en production.
En bref
- Le groupe TeamPCP exploite des credentials volés lors d'attaques supply chain pour compromettre des environnements AWS, Azure et SaaS.
- Les clés d'accès récupérées via les compromissions de Trivy, LiteLLM et Checkmarx sont validées puis weaponisées en quelques heures.
- Les organisations qui ont rapidement révoqué leurs credentials ont limité l'impact de l'attaque.
Ce qui s'est passé
Le groupe cybercriminel TeamPCP, également connu sous les noms DeadCatx3, PCPcat et ShellForce, a franchi une nouvelle étape dans sa campagne d'attaques supply chain qui sévit depuis début mars 2026. Selon les chercheurs de Wiz, le groupe utilise désormais les credentials dérobés lors de ses compromissions précédentes pour s'infiltrer directement dans des environnements cloud de production, d'après un rapport publié par Dark Reading le 31 mars.
L'équipe CIRT de Wiz a détecté les premières activités malveillantes le 19 mars : les attaquants utilisaient l'outil open source Trufflehog pour valider en masse des clés d'accès AWS, des secrets d'applications Azure et des tokens SaaS récupérés lors des compromissions de projets comme Trivy, LiteLLM et Checkmarx GitHub Actions. Une fois validés, ces credentials étaient exploités pour accéder à des environnements de production, exfiltrer des données et préparer des opérations d'extorsion.
TeamPCP s'est imposé comme une plateforme cybercriminelle cloud-native, spécialisée dans la compromission d'infrastructures modernes. Le groupe avait déjà fait parler de lui en compromettant des packages PyPI, des extensions VS Code et des images Docker Hub au cours du mois de mars, selon SecurityWeek.
Pourquoi c'est important
Cette évolution marque un tournant dans les attaques supply chain : TeamPCP ne se contente plus de compromettre des outils open source, il weaponise les credentials volés pour attaquer directement les infrastructures cloud des entreprises victimes. Cette chaîne d'attaque illustre le risque systémique que représentent les secrets codés en dur dans les pipelines CI/CD. Les organisations qui n'ont pas rapidement fait tourner leurs clés après les compromissions de mars se retrouvent exposées à des intrusions de seconde vague potentiellement plus dévastatrices.
Ce qu'il faut retenir
- Toute organisation ayant utilisé Trivy, LiteLLM ou Checkmarx GitHub Actions doit immédiatement auditer et révoquer ses credentials cloud.
- L'utilisation de gestionnaires de secrets et la rotation automatique des clés sont désormais indispensables dans les pipelines CI/CD.
- Les outils de détection de secrets comme Trufflehog, utilisés ici à des fins malveillantes, doivent être intégrés en mode défensif dans vos workflows.
Comment savoir si mon organisation est concernée par les attaques TeamPCP ?
Vérifiez si vous utilisez des versions compromises de Trivy GitHub Actions, LiteLLM 1.82.7-1.82.8 ou des packages Telnyx sur PyPI. Auditez vos logs cloud pour détecter des accès inhabituels depuis des IP inconnues. Recherchez des activités Trufflehog dans vos environnements CI/CD. En cas de doute, procédez à une rotation complète de vos credentials AWS, Azure et SaaS.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
L'Iran relance Pay2Key avec des pseudo-ransomwares destructeurs
L'Iran relance le groupe Pay2Key avec des pseudo-ransomwares destructeurs et recrute des affiliés sur les forums russes pour cibler les entreprises américaines.
Le CMA ouvre une enquête sur Microsoft pour ses licences cloud
Le régulateur britannique CMA lance une enquête sur les licences cloud de Microsoft, accusé de verrouiller les entreprises sur Azure via des tarifs préférentiels.
VMware Aria Operations : RCE critique exploitée activement
CVE-2026-22719 : injection de commandes critique dans VMware Aria Operations exploitée activement. CISA KEV, trois failles chaînables corrigées par Broadcom.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire