# TeamPCP
> [!warning] **TeamPCP** é um grupo de ameaça atribuído a **Desconhecido** ativo desde **2026**.
## Descrição
TeamPCP é um grupo de ameaça altamente disruptivo, ativo desde fevereiro de 2026, especializado em **ataques de cadeia de suprimentos** (supply chain) de alta velocidade contra pipelines CI/CD, gerenciadores de pacotes e ferramentas de desenvolvimento. O grupo opera em múltiplos ecossistemas simultaneamente - [[github|GitHub]] Actions, [[docker|Docker]] Hub, npm, PyPI e OpenVSX - com o objetivo de roubar credenciais e propagar-se de forma worm-like por ambientes comprometidos.
**Também conhecido como:** TeamPCP, DeadCatx3, PCPcat, ShellForce, CipherForce
## Attack Flow
```mermaid
graph TB
A["Tag Hijack<br/>GitHub Actions"] --> B["CI/CD Secrets<br/>Proc Memory Dump"]
B --> C["Pacotes Maliciosos<br/>npm / PyPI / Docker"]
C --> D["Cloud Credential<br/>IMDS / SSH Keys"]
D --> E["Worm Propagation<br/>CanisterWorm"]
E --> F["Exfil AES+RSA<br/>ICP Blockchain C2"]
F --> G["Wiper / Backdoor<br/>Destruicao Seletiva"]
classDef vermelho fill:#e74c3c,stroke:#c0392b,color:#fff
classDef laranja fill:#f39c12,stroke:#e67e22,color:#fff
classDef azul fill:#3498db,stroke:#2980b9,color:#fff
class A,B vermelho
class C,D,E laranja
class F,G azul
```
**Legenda:** Hijack de tags mutáveis em GitHub Actions para roubar segredos de CI/CD, propagação via pacotes envenenados em múltiplos ecossistemas, exfiltração criptografada para C2 descentralizado em blockchain ICP, e destruição seletiva via wiper em sistemas com timezone iraniano.
## Histórico e Campanhas
O grupo iniciou suas operações em **28 de fevereiro de 2026** com o comprometimento do [[trivy-supply-chain-attack|Trivy]], explorando uma misconfiguration no GitHub Actions workflow ([[cve-2026-33634|CVE-2026-33634]]), roubando segredos de CI/CD e públicando binários maliciosos na versão v0.69.4.
### Timeline de Ataques
- **Fev 2026** - Comprometimento inicial do Trivy via workflow mal configurado
- **Mar 2026 (semana 1)** - Hijacking da action xygeni-action via tag mutável v5
- **Mar 2026 (semana 3)** - Envenenamento de imagens Docker do Trivy, aquasecurity/trivy-action e setup-trivy; propagação worm-like via chaves SSH roubadas
- **Mar 2026 (semana 4)** - Comprometimento das GitHub Actions da [[checkmarx-github-actions-compromise|Checkmarx]] (ast-github-action, kics-github-action) usando segredos roubados do Trivy
- **Mar 2026+** - Campanha npm "[[canisterworm|CanisterWorm]]" com 66+ pacotes maliciosos; extensões OpenVSX; pacotes PyPI (LiteLLM); mais de 300 GB de dados roubados, impactando ~1.000 ambientes SaaS
## Técnicas Utilizadas
O grupo utiliza um arsenal sofisticado de técnicas que abrange toda a cadeia de ataque:
### Acesso Inicial
- [[t1195-001-compromise-software-dependencies-and-development-tools|T1195.001 - Supply Chain Compromise: Software Dependencies]] - Pacotes npm/PyPI/OpenVSX envenenados
- [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise: Software Supply Chain]] - Tag hijacking e commits maliciosos em GitHub Actions
### Execução
- [[t1059-004-unix-shell|T1059.004 - Command and Scripting Interpreter: Bash]] - Loader kamikaze.sh; controllers kube.py/prop.py
### Persistência
- [[t1543-002-systemd-service|T1543.002 - Creaté or Modify System Process: systemd]] - Serviços pgmon.service e pgmonitor.service com Restart=always
- DaemonSets Kubernetes (host-provisioner-std) com acesso ao filesystem do host
### Acesso a Credenciais
- [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - Dump de /proc/[pid]/mem para extrair segredos do Runner.Worker
- [[t1552-004-private-keys|T1552.004 - Unsecured Credentials: Private Keys]] - Coleta de chaves SSH/TLS/cloud
- [[t1552-005-cloud-instance-metadata-api|T1552.005 - Unsecured Credentials: Cloud Instance Metadata API]] - Consultas ao endpoint IMDS (169.254.169.254)
### Movimento Lateral
- [[t1525-implant-internal-image|T1525 - Implant Internal Image]] - Imagens Docker/containers maliciosos com acesso privilegiado
### Exfiltração
- Dados criptografados com AES-256 + RSA-4096, empacotados como tpcp.tar.gz e enviados via curl para C2
### Impacto
- [[t1485-data-destruction|T1485 - Data Destruction]] - Wiper direcionado a sistemas com timezone iraniano (rm -rf /, reboot)
- Nodos não-iranianos recebem backdoor [[canisterworm|CanisterWorm]]
## Software Utilizado
- [[teampcp-cloud-stealer|TeamPCP Cloud Stealer]] - Malware de roubo de credenciais injetado em actions/binários confiáveis
- [[canisterworm|CanisterWorm]] - Backdoor distribuído via pacotes npm maliciosos; C2 hospedado em ICP (Internet Computer Protocol)
## Evasão e Infraestrutura
O grupo utiliza técnicas avançadas de evasão, incluindo:
- **Commits impostor** - Spoofing de usuários legítimos (ex: rauchg, DmitriyLewen)
- **Tags mutáveis** - Hijacking de tags de versão em GitHub Actions
- **C2 descentralizado** - Payloads servidos via Internet Computer canisters
- **Kill switch via YouTube** - Backdoors verificam disponibilidade de vídeos YouTube específicos como mecanismo de controle
## Impacto
O TeamPCP impactou aproximadamente **10.000+ equipes de desenvolvimento** ao transformar scanners de segurança confiáveis (como [[trivy-supply-chain-attack|Trivy]] e Checkmarx KICS) em vetores de ataque. A campanha representa uma das maiores operações de supply chain de 2026, com potencial para comprometimento em cascata de ambientes de produção.
## Relevância para o Brasil e LATAM
TeamPCP representa ameaça **existencial para DevOps/SRE brasileiros**. O impacto global de ~10.000 ambientes comprometidos inclui equipes de desenvolvimento brasileiras em fintech, SaaS, e infraestrutura. O trust no Trivy como ferramenta de segurança foi explorado - qualquer organização que atualizou para v0.69.4 entre fevereiro-março 2026 pode estar comprometida. Empresas brasileiras com CI/CD pipelines sobre GitHub Actions devem: (1) auditar segredos expostos; (2) revogar todos os tokens CI/CD; (3) monitorar logs de GitHub Actions para execução de bash não autorizado (kamikaze.sh); (4) investigar imagens Docker públicadas nesse período.
## Atribuição e Parceiros
### Conexão LAPSUS$
Pesquisadores identificaram sobreposição de TTPs e infraestrutura entre o TeamPCP e o grupo [[lapsus|LAPSUS$]], sugerindo colaboração ou membros compartilhados. A parceria operacional é episódica: LAPSUS$ fornece acesso inicial a alvos de alto valor (credenciais corporativas, acesso VPN privilegiado) enquanto o TeamPCP executa a cadeia de supply chain. O FBI abriu investigação formal sobre a parceria e o papel do TeamPCP na cadeia de monetização de dados corporativos via [[vect-ransomware|Vect Ransomware]].
### Parceria Vect Ransomware
O TeamPCP opera como **affiliate de acesso inicial** para o [[vect-ransomware|Vect RaaS]]: o supply chain compromise fornece pré-posicionamento em redes corporativas, que é depois monetizado pelo Vect com criptografia e extorsão. O Vect lançou programa de afiliados no BreachForums em março de 2026, distribuindo chaves de afiliação personalizadas para aproximadamente **300.000 usuários registrados** da plataforma.
### Vítimas Notáveis (março 2026)
- **Telnyx** - pacotes PyPI `telnyx` 4.87.1/4.87.2 comprometidos; binário `msbuild.exe` malicioso na pasta Startup do Windows
- **BerriAI/LiteLLM** - `litellm` 1.82.7/1.82.8; Mandiant contratado para investigação forense
- **Checkmarx** - ast-github-action e kics-github-action comprometidos via segredos roubados do Trivy
- **AstraZeneca** - comprometimento reivindicado pelo grupo (não confirmado públicamente pela empresa)
- **Aqua Security** - ferramentas internas afetadas via contaminação de imagens Docker
## Infraestrutura C2 — Blockchain ICP
O TeamPCP inovou com uso de **Internet Computer Protocol (ICP)** para hospedar C2 via canisters descentralizados. A arquitetura torna o C2 resistente a takedown convencional (sem domínio para apreender, sem hosting para derrubar):
- **Canister C2**: `tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io`
- Backdoor [[canisterworm|CanisterWorm]] chama este endpoint para receber comandos e exfiltrar dados
- Canisters ICP são programas imutáveis rodando em blockchain distribuído — sem ponto único de falha
- Kill switch via YouTube: backdoors verificam disponibilidade de vídeos específicos como mecanismo de controle fora de banda
## Indicadores de Comprometimento
> [!ioc]- IOCs - TeamPCP (TLP:GREEN)
> **Domínios C2:**
> `update-check[.]com`
> `tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io` (ICP blockchain canister)
> `tpcp-exfil[.]net`
>
> **IPs C2:**
> `185.220.101.47`
> `194.165.16.89`
> `45.142.212.100`
>
> **Pacotes npm maliciosos (CanisterWorm - amostra):**
> `@vant/auto-import-resolver` (typosquat)
> `@shikijs/transformers` (typosquat)
> `ts-morph-utils` (backdoored)
>
> **Pacotes PyPI comprometidos:**
> `telnyx` 4.87.1, 4.87.2
> `litellm` 1.82.7, 1.82.8
>
> **Artefatos no host:**
> - Binário `msbuild.exe` na pasta Startup do Windows (persistência via Startup)
> - Serviços systemd: `pgmon.service`, `pgmonitor.service` com `Restart=always`
> - DaemonSets Kubernetes: `host-provisioner-std` com acesso privilegiado ao filesystem do host
> - Arquivo de exfiltração: `tpcp.tar.gz` (AES-256 + RSA-4096, enviado via curl)
>
> **GitHub Actions comprometidas:**
> `aquasecurity/
[email protected]` (tag mutável - verificar commit hash)
> `xygeni-action@v5` (tag mutável hijacked)
> `checkmarx/ast-github-action` (via segredos roubados)
> `checkmarx/kics-github-action` (via segredos roubados)
>
> **CVE relacionado - CISA KEV deadline:**
> CVE-2026-33634 — prazo CISA KEV: **9 de abril de 2026**
>
> **Fontes:** [SANS ISC](https://isc.sans.edu/diary/rss/32842) · [Wiz Blog](https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack) · [Arctic Wolf](https://arcticwolf.com/resources/blog/teampcp-supply-chain-attack-campaign-targets-trivy-checkmarx-kics-and-litellm-potential-downstream-impact-to-additional-projects/)
## Indicadores e Mitigação
> [!warning] Recomendações
> - Revogar todos os segredos CI/CD expostos a workflows comprometidos
> - Auditar pipelines para dependências de actions com tags mutáveis — usar commit hash em vez de tags
> - Monitorar consultas ao endpoint IMDS (169.254.169.254) combinadas com exfiltração via curl
> - Remover pacotes npm/PyPI/OpenVSX maliciosos identificados — downgrade imediato
> - Bloquear canister ICP `tdtqy-oyaaa-aaaae-af2dq-cai.raw.icp0.io` em proxies e firewalls
> - Investigar imagens Docker públicadas entre fev-mar 2026 por times afetados
> - Organizações que usaram `telnyx` ou `litellm` nas versões comprometidas: assumir comprometimento e auditar
---
*Fontes: [The Hacker News](https://thehackernews.com/2026/03/teampcp-hacks-checkmarx-github-actions.html), [Wiz Blog](https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack), [Arctic Wolf](https://arcticwolf.com/resources/blog/teampcp-supply-chain-attack-campaign-targets-trivy-checkmarx-kics-and-litellm-potential-downstream-impact-to-additional-projects/), [BleepingComputer](https://www.bleepingcomputer.com/news/security/teampcp-deploys-iran-targeted-wiper-in-kubernetes-attacks/), [SANS ISC](https://isc.sans.edu/diary/rss/32842)*
## Visão Geral
> Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.