TeamPCP (UNC6780) compromet des centaines de packages TanStack, UiPath et Mistral AI pour voler des credentials et déployer le ransomware VECT sur les environnements CI/CD downstream. Campagne active depuis mars 2026.
En bref
- Le groupe TeamPCP (alias UNC6780) compromet des centaines de packages npm liés à TanStack, UiPath, Mistral AI, OpenSearch et Guardrails AI
- Vecteur : packages malveillants qui volent les credentials développeurs, puis déploiement du ransomware VECT sur les environnements downstream
- Action requise : auditer les dépendances npm/PyPI, révoquer les tokens d'accès cloud des environnements de build, vérifier les pipelines CI/CD
Les faits
Depuis mars 2026, le groupe de menace TeamPCP — également suivi sous le nom UNC6780 par Mandiant — conduit l'une des campagnes de supply chain attack les plus sophistiquées de l'année. L'opération cible l'écosystème des développeurs IA et cloud en compromettant des packages associés à des projets open source réputés : TanStack (React Query, Router, Table), UiPath, Mistral AI, OpenSearch et Guardrails AI.
La technique employée par TeamPCP repose sur le typosquatting et le dependency confusion : les attaquants publient des packages au nom quasi-identique aux packages légitimes, ou exploitent des configurations de registres npm/PyPI qui permettent à un package de scope privé d'être résolu depuis le registre public. Ces packages malveillants intègrent un stealer léger qui, à l'installation (via les hooks postinstall), collecte les tokens d'accès AWS, GCP et Azure, les variables d'environnement du système, les credentials git, et les clés SSH présents sur la machine du développeur.
The Hacker News et Mandiant ont publié une analyse conjointe le 8 juin 2026 détaillant la chaîne d'attaque complète. Après la phase de collecte de credentials (dite « stage 1 »), TeamPCP dispose d'un accès aux pipelines CI/CD des organisations victimes. La phase 2, observée à partir de fin mars 2026, a vu le déploiement du ransomware VECT — une nouvelle souche dont c'est la première apparition publique documentée. VECT cible prioritairement les environnements cloud et les serveurs de build, chiffrant les artefacts de déploiement, les buckets S3, les dépôts privés et les bases de données de configuration.
La particularité de cette campagne réside dans le ciblage précis de l'écosystème IA. TanStack est utilisé par des millions de développeurs React dans le monde — la librairie comptabilise plus de 40 millions de téléchargements hebdomadaires sur npm. UiPath est déployé dans des milliers d'entreprises pour l'automatisation RPA. Mistral AI et Guardrails AI sont des dépendances de plus en plus courantes dans les pipelines d'IA générative d'entreprise. En compromettant ces écosystèmes, TeamPCP accède à des environnements IA internes — modèles propriétaires, datasets sensibles, clés API d'inférence.
L'incident le plus médiatisé de cette campagne concerne deux appareils d'employés OpenAI compromis via des packages TanStack malveillants. L'information a été rendue publique par OpenAI dans un disclosure coordonné avec Mandiant. Bien qu'OpenAI ait indiqué que les systèmes de production et les données clients n'avaient pas été impactés, l'incident a forcé Apple à déployer des mises à jour macOS correctives pour neutraliser le stealer, qui exploitait une API macOS non documentée pour accéder au trousseau de clés système.
Sur le plan attribution, TeamPCP est décrit par Mandiant comme un groupe à motivation financière, probablement d'origine est-européenne, actif depuis au moins 2024. L'infrastructure de command-and-control observée utilise des services cloud légitimes pour éviter la détection — notamment AWS CloudFront et Azure CDN — une technique dite de « living off trusted sites ». Le nom VECT pour le ransomware est apparu pour la première fois dans des discussions sur des forums cybercriminels russophones en février 2026, plusieurs semaines avant les premières attaques documentées.
La réponse des projets open source touchés a été rapide : TanStack a publié un advisory de sécurité dès le 3 juin 2026 en collaboration avec le GitHub Security Lab, listant les noms des packages malveillants identifiés. npm a suspendu plus de 300 packages suspects. PyPI a déclenché une procédure d'audit accélérée sur les packages liés à l'écosystème Mistral. Malgré ces mesures, la difficulté de supply chain attacks de ce type réside dans la durée de présence des packages sur les registres avant détection — dans cette campagne, certains packages malveillants étaient présents depuis 6 à 8 semaines avant d'être signalés.
Pour les organisations françaises, l'exposition est réelle. La popularité de TanStack dans les projets React d'agences et d'ESN, la présence d'UiPath dans les grands groupes du CAC 40 pour l'automatisation RPA, et l'adoption croissante de Mistral AI dans les projets d'IA souveraine augmentent mécaniquement la surface d'attaque. L'ANSSI n'a pas encore émis d'alerte spécifique sur cette campagne à la date de publication, mais le CERT-FR a relayé l'advisory TanStack dans son flux d'informations du 9 juin 2026.
Impact et exposition
Tout développeur ayant installé des packages npm ou PyPI liés aux écosystèmes TanStack, UiPath, Mistral AI, OpenSearch ou Guardrails AI depuis janvier 2026 doit considérer ses credentials comme potentiellement compromis. Les environnements de CI/CD utilisant ces packages dans leurs pipelines de build sont directement exposés au déploiement de VECT. Les environnements cloud avec des permissions larges accordées aux runners CI représentent le périmètre à risque maximum.
Recommandations
- Immédiat : comparer les packages installés contre la liste des packages malveillants publiée par TanStack et npm Security Advisory du 3 juin 2026
- Révoquer et régénérer tous les tokens d'accès AWS/GCP/Azure configurés dans les environnements de build et CI/CD
- Activer le lock des versions (package-lock.json, poetry.lock) et la vérification de l'intégrité des packages (npm audit, pip-audit)
- Configurer un registre npm/PyPI privé comme proxy pour contrôler les packages autorisés en production
- Auditer les permissions des runners CI/CD — principe du moindre privilège sur les accès cloud
Alerte supply chain active
Si votre pipeline CI/CD utilise TanStack, UiPath, Mistral AI ou OpenSearch depuis janvier 2026, vérifiez immédiatement l'intégrité de vos packages et révoquez vos credentials cloud. VECT ransomware cible en priorité les buckets S3 et les artefacts de build.
Comment savoir si mes pipelines CI/CD ont installé un package malveillant TeamPCP ?
Auditez vos fichiers package-lock.json et yarn.lock à la recherche des noms listés dans l'advisory npm Security du 3 juin 2026 (cherchez les packages avec des noms proches de tanstack/, @uipath/, @mistralai/ mais avec de légères variations orthographiques ou des scopes inhabituels). Analysez vos logs CI/CD pour détecter des requêtes HTTP sortantes vers des domaines inhabituels lors des étapes npm install ou pip install. Utilisez npm audit et vérifiez les sorties SIGSTORE des packages si votre toolchain le supporte.
Vos pipelines CI/CD sont-ils exposés ?
Ayi NEDJIMI audite la sécurité des pipelines de développement et la chaîne d'approvisionnement logicielle pour détecter les compromissions avant qu'elles n'atteignent la production.
Demander un auditUn projet cybersécurité ?
Expert dispo · Réponse 24h