En hackergruppe med navn TeamPCP har gjennomført en bølge av supply chain-angrep mot åpen kildekode i et omfang som overrasker sikkerhetsforskere. Ifølge Ars Technica er det snakk om en finansielt motivert gruppe med angivelige forbindelser til både Vect-ransomware-gruppen og det beryktede Lapsus$-nettverket.

Skadevare plantes i betrodde utviklingsverktøy

TeamPCP spesialiserer seg på å kompromittere verktøy utviklere stoler på daglig. I mars 2026 utnyttet gruppen en feilkonfigurasjon i Trivy – et sikkerhetsverktøy brukt av over 10 000 utviklingsteam – for å stjele en tjenestekonto-legitimasjon via GitHub Actions. Med stjålne Personal Access Tokens (PAT) tvang angriperne igjennom ondsinnede commits til populære repoer som checkmarx/kics-github-action og aquasecurity/trivy-action.

Resultatet: kjente sikkerhetsverktøy ble selv gjort om til angrepsvektorer.

Angriperne snudde sikkerhetsverktøy mot de som brukte dem – og lot offeret selv kjøre skadevaren i sin egen pipeline.

En orm som sprer seg selv

Et av de mest bekymringsfulle elementene i TeamPCPs arsenal er det som beskrives som «Mini Shai-Hulud» – en selvreplikerende orm tilpasset fra en variant dokumentert i 2025. Ormen automatiserer mye av supply chain-angrepet ved å stjele CI/CD-legitimasjon og bruke denne til å publisere infiserte versjoner av nye pakker.

Ifølge sikkerhetsforskning utnytter ormen en kjede av sårbarheter, inkludert en «Pwn Request» via pull_request_target, cache-forgiftning i GitHub Actions og utvinning av OIDC-tokens fra GitHub Actions-kjøretidsmiljøet. Dette gjør det mulig å publisere ondsinnede pakker med gyldig SLSA-proveniensbevis – noe som gjør det langt vanskeligere å oppdage manipulasjonen.

GitHub selv rammet

Konsekvensene nådde et nytt nivå 20. mai 2026, da GitHub bekreftet et supply chain-brudd direkte tilskrevet TeamPCP. Angrepet skal ha kompromittert rundt 3 800 interne repoer – og startet med at en GitHub-ansatt ble offer for en tidligere kompromittert pakke.

GitHub er blant de mest sentrale plattformene i global programvareutvikling, og et internt brudd av denne størrelsen understreker alvoret i gruppens kapasitet.

3 800
Kompromitterte GitHub-repoer
36%
Skymiljøer berørt via LiteLLM

AI-verktøy og SDK-er i skuddlinjen

TeamPCP har i særlig grad rettet seg mot AI-infrastruktur. BerriAIs LiteLLM – et Python-bibliotek for integrasjon mot store språkmodell-leverandører – ble kompromittert i versjonene v1.82.7 og v1.82.8. Ifølge forskningsmaterialet estimeres dette å ha berørt 36 prosent av skymiljøer som bruker biblioteket.

Også Telnyx Python SDK, TanStack-pakker (84 ondsinnede versjoner fordelt på 42 npm-pakker), MistralAI og elementary-data skal ha vært målrettet.

TeamPCP har gjort åpen kildekode til et minefelt – og ingen populær pakke er automatisk trygg.

Hva gjør dette spesielt farlig?

Det som skiller TeamPCPs kampanje fra tidligere supply chain-angrep er kombinasjonen av tempo, presisjon og etterfølgende atferd, ifølge sikkerhetsforskere sitert av Ars Technica. Gruppen stjeler ikke bare legitimasjon – de etablerer vedvarende tilgang, høster GitHub-tokens, SSH-nøkler, skylegitimaser og nettleserlagrede hemmeligheter.

I tillegg er mange av angrepsvektorene skreddersydd for å unngå oppdagelse: .pth-filer i Python kjøres automatisk ved oppstart uten å kreve eksplisitt importering, og SLSA-signerte ondsinnede pakker omgår integritetssjekker mange organisasjoner baserer seg på.

For utviklere og organisasjoner som bruker åpen kildekode – det vil si praktisk talt alle som driver med programvareutvikling – er budskapet klart: avhengighetslistene dine kan inneholde trusler som er svært vanskelige å oppdage med konvensjonelle metoder.