Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
un hacker che tiene in mano una catena rotta al centro che sembra far comprendere che si è spezzata per un attacco hacker

TeamPCP: 500 milioni di download a settimana e Supply Chain e Open Source nel mirino

19 Giugno 2026 15:51
In sintesi

Gli hacker criminali di TeamPCP hanno inserito codice malevolo in più di 1000 pacchetti software open source, sfruttando vulnerabilità note da tempo nelle catene di dipendenze. Le piattaforme di sviluppo automatizzate e gli strumenti basati su intelligenza artificiale hanno accelerato questo processo, aumentando il rischio di infezioni. Il gruppo ha rubato credenziali per servizi cloud e ha collaborato con altri gruppi criminali, dimostrando un interesse principale nella notorietà piuttosto che nel guadagno economico.

Il gruppo hacker criminali noto come TeamPCP ha recentemente colpito più di 1000 pacchetti software, infiltrando codice malicioso in alcune delle piattaforme di sviluppo open source più utilizzate. La loro operazione è durata meno di quattro mesi e ha portato a un risarcimento di circa $90,000. Gli attacchi hanno colpito repository come npm, PyPI e GitHub, sfruttando le catene di dipendenze per diffondere il codice malicioso.

Il problema principale non è una tecnica di attacco nuova, ma una vulnerabilità che esiste da tempo. Molte aziende utilizzano codice esterno senza controllare ogni collegamento della catena. Le piattaforme di sviluppo automatiche rendono questo processo ancora più veloce, aumentando il rischio di problemi di sicurezza. Gli strumenti basati sull’intelligenza artificiale possono installare pacchetti con poco intervento umano, il che peggiora la situazione.

Il gruppo TeamPCP ha agito in modo abbastanza aperto, rubando informazioni di accesso per servizi come Kubernetes, Amazon Web Services, Microsoft Azure e Google Cloud. Tra le aziende colpite ci sono Checkmarx, Bitwarden, LiteLLM, Telnyx, PyTorch Lightning, SAP, GitHub, TanStack, UiPath, MistralAI e Red Hat.

Advertising

I pacchetti compromessi hanno raggiunto circa 500 milioni di download settimanali, anche se non tutti gli utenti sono stati necessariamente colpiti. Tuttavia, il potenziale impatto è enorme, con un significativo danno alla reputazione dell’ecosistema open source.

Google ha collegato l’attività di TeamPCP a un operatore principale situato in Sud Africa, mentre Palo Alto Networks ha identificato tre membri del gruppo: ResoluteXBF, diencracked e Shinigami. TeamPCP ha collaborato con altri gruppi criminali come Lapsus$, ShinyHunters, DragonForce, BreachForums e HasanBroker.

Il denaro non sembra essere il principale motivo dietro le azioni di TeamPCP. Hanno dichiarato pubblicamente oltre 10,000 vittime e circa $90,000 in pagamenti estorti, ma sembrano più interessati a guadagnare notorietà nel mondo criminale. Inoltre, hanno tentato di vendere circa 4000 repository privati per $95,000.

La velocità delle loro operazioni è allarmante: alcuni pacchetti infetti sono rimasti disponibili per quasi 13 ore prima che le squadre di sicurezza riuscissero a rimuoverli. TeamPCP continua a infettare nuovi pacchetti quasi quotidianamente, rubando dati sensibili entro 24 ore.

Il gruppo è anche responsabile del malware auto-propagante Mini Shai-Hulud, che ha recentemente infettato centinaia di pacchetti in repository open source. Un membro di TeamPCP ha pubblicato il codice sorgente del malware su GitHub, incoraggiando altri criminali a utilizzarlo.

Un’altra minaccia riguarda l’estensione JCE per Joomla, che presenta una vulnerabilità critica. Gli sviluppatori hanno rilasciato le versioni 2.9.99.5 e 2.9.99.6 per risolvere il problema, ma queste aggiornamenti non rimuovono eventuali infezioni preesistenti.

Advertising

La vulnerabilità permette agli attaccanti di aggiungere un profilo JCE che consente l’upload di file eseguibili, portando a potenziali compromissioni del sito. I proprietari dei siti sono invitati a controllare la sezione “Compontent” → “JCE Editor” → “Editor Profile”, cercando profili sconosciuti o con nomi generati automaticamente.

Un altro segnale che potrebbe indicare un problema è quando la barra degli strumenti nell’editor del sito è ridotta o addirittura assente. Anche se questo non significa necessariamente che ci sia stato un attacco, se combinato con un profilo sconosciuto, potrebbe essere un indizio di una compromissione. Per questo è una buona idea controllare i log del server web per vedere se ci sono state richieste non autorizzate relative all’importazione dei profili. Inoltre, è utile verificare le cartelle come quelle delle immagini, dei media e delle cartelle temporanee per vedere se ci sono file PHP o file con estensioni sospette.

Il team che si occupa dello sviluppo del sito sottolinea che aggiornare il sistema chiude solo la porta d’ingresso per gli attacchi, ma non rimuove le infezioni che potrebbero già essere presenti. Per capire se c’è stato veramente un attacco, è utile esaminare i log del server web per trovare le prime richieste non autorizzate e utilizzare una copia di backup del sito che risale a prima della data in cui si sospetta che l’attacco sia avvenuto.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response