TeamPCP est en train de devenir l'un des groupes cybercriminels les plus remarqués aujourd'hui, car ils mènent continuellement des attaques contre les chaînes d'approvisionnement en logiciels visant les écosystèmes open source et les outils d'IA.
Ce groupe de hackers a été beaucoup mentionné après que GitHub a confirmé une fuite de données internes lors d'une récente cyberattaque.
Selon GitHub, la cause vient du fait qu'un développeur a installé une extension malveillante pour VSCode, qui est un éditeur de code source populaire chez Microsoft.
L'incident a provoqué l'intrusion d'environ 3 800 archives internes, bien que GitHub affirme que les données clients ne sont pas affectées.
Après l'incident, TeamPCP aurait publié un article sur le forum de cybercriminalité BreachForums pour vendre le code source et les données internes de GitHub. Le groupe a déclaré qu'il était prêt à fournir des échantillons de données aux acheteurs pour prouver leur authenticité.
Selon les experts en cybersécurité, TeamPCP a émergé à partir de la fin de 2025. Au départ, ce groupe exploitait des configurations incorrectes sur la plateforme cloud ainsi que des failles dans l'outil de développement d'applications Next.js pour diffuser des botnets, voler des informations de connexion et exploiter illégalement des crypto-monnaies.
Le point inquiétant est que TeamPCP se concentre sur les attaques contre les chaînes d'approvisionnement en logiciels. Il s'agit d'une forme de piratage informatique qui installe des logiciels malveillants sur des logiciels légaux afin de diffuser des logiciels malveillants à de nombreux utilisateurs et entreprises.
La façon dont ce groupe fonctionne commence généralement par pénétrer dans l'environnement de développement d'un outil open source populaire. Ensuite, les pirates informatiques insèrent secrètement du code malveillant dans le logiciel. Lorsque les programmeurs ou les entreprises téléchargent et utilisent cet outil, le code malveillant continue de se propager à d'autres systèmes.
Grâce à ce processus, TeamPCP peut voler des informations de connexion, des codes d'authentification et des accès à de nombreuses plateformes de développement de logiciels.
Les experts affirment que le groupe de pirates informatiques utilise également un type de ver informatique auto-proliférant appelé "Mini Shai-Hulud" pour automatiser les attaques à grande échelle.
Selon la société de cybersécurité Socket, en quelques mois seulement, TeamPCP a mené environ 20 campagnes d'attaques contre les chaînes d'approvisionnement, installant des logiciels malveillants sur plus de 500 logiciels différents. Des centaines d'entreprises auraient été touchées.
Non seulement GitHub, mais de nombreuses grandes organisations technologiques sont également devenues la cible de ce groupe de hackers. TeamPCP est soupçonné d'être à l'origine des attaques liées à OpenAI, à la plateforme de données Mercor et à l'outil d'IA LiteLLM sur la boutique de logiciels Python PyPI.
D'autres entreprises et organisations telles que Checkmarx, TanStack, la plateforme d'IA Mistral auraient également été touchées par les campagnes de ce groupe de hackers.
Les experts estiment que le principal moteur de TeamPCP est financier. Ce groupe déploie souvent des logiciels de rançon, vole des données ou vend des informations à des tiers.
TeamPCP aurait également évolué vers le modèle "ransomware-as-a-service", c'est-à-dire fournir des services de rançongiciels à d'autres groupes de cybercriminels.
Pour réduire le risque d'attaque, les experts recommandent aux entreprises de renforcer la cybersécurité, notamment en contrôlant l'accès, en gérant strictement le code d'authentification et en modifiant fréquemment les tokens de connexion.
De plus, les organisations doivent vérifier attentivement les mises à jour logicielles open source avant l'installation au lieu de mettre à jour automatiquement immédiatement.
