Kerentanan  ·  2026-07-06

FBI FLASH: Serangan Rantai Pasokan Perangkat Lunak Skala Besar TeamPCP Trojanize Developer/Security Tools (Trivy, KICS, LiteLLM, Telnyx SDK) — Termasuk Worm Self-Propagating npm/PyPI

KerentananHigh dampakGlobal
FBI mengeluarkan FLASH-20260702-01 (2 Juli 2026) memperingatkan bahwa TeamPCP — kelompok ancaman yang terkait dengan 'The Com' — telah, sepanjang 2026, meracuni pembaruan ke alat developer dan keamanan yang banyak digunakan, secara eksplisit termasuk LiteLLM (gateway LLM/AI open-source yang banyak diterapkan), untuk mencuri kredensial cloud dalam skala besar. Sophos melaporkan (2 Juli) bahwa TeamPCP sejak itu bermitra dengan kelompok ransomware Vect dalam apa yang peneliti sebut model ransomware 'industrialisasi yang belum pernah terjadi sebelumnya', menggabungkan jangkauan pemanenan kredensial TeamPCP dengan penerapan ransomware Vect.
Ini secara langsung menargetkan rantai pasokan AI — LiteLLM adalah gateway AI yang banyak diterapkan yang duduk di depan banyak penerapan LLM produksi — dan worm Mini Shai-Hulud/Miasma self-propagating berarti satu paket yang dikompromikan dapat melakukan panen kredensial cascade di seluruh ekosistem npm/PyPI yang kebanyakan tooling AI/ML bergantung, dengan rahasia cloud/K8s yang dicuri memungkinkan penerapan ransomware downstream.
TeamPCP mengompromikan saluran distribusi perangkat lunak terpercaya, menyuntikkan kode berbahaya ke dalam pembaruan paket yang sah (termasuk gateway AI LiteLLM) untuk memasang malware pencuri kredensial (CanisterWorm, SANDCLOCK) dan worm rantai pasokan self-replicating (Mini Shai-Hulud dan variannya Miasma) yang menyebar di npm dan PyPI, memanen token cloud (AWS/GCP/Azure), kunci SSH, dan rahasia Kubernetes dari lingkungan developer dan pipeline AI.
Tooling developer/keamanan termasuk LiteLLM (gateway LLM open-source yang banyak digunakan), Trivy, KICS, Telnyx Python SDK, dan setiap pipeline CI/CD yang mengkonsumsi paket npm/PyPI
Pin semua alur kerja GitHub Actions ke hash commit yang diverifikasi; rotasi semua rahasia CI/CD dan kredensial cloud; terapkan ambang usia paket minimum (7+ hari) sebelum adopsi; audit akun pengelola npm/PyPI; cari repo untuk IOC yang diketahui (misalnya 'tpcp-docs', 'docs-tpcp'); lihat FBI FLASH-20260702-01.
FBI IC3 FLASH-20260702-01Threat-Modeling.com — FBI Warning: TeamPCPInfosecurity Magazine — Industrialized Cyber-Attacks After Ransomware Gang Partners With TeamPCP
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →