Die Hackergruppe TeamPCP — auch als DeadCatx3, PCPcat und ShellForce bekannt — hat in den letzten Wochen eine beispiellose Angriffskampagne gegen das Open-Source-Ökosystem durchgeführt. Alles begann mit der Kompromittierung eines Access-Tokens der Vulnerability-Scanner-Software Trivy von Aqua Security im späten Februar.
Der Trivy-Angriff als Auftakt
Die Angreifer nutzen unzureichend rotierte Zugangsdaten aus und infiltrierten das Argon-DevOps-Mgt-Service-Konto, das ihnen Schreibzugriff auf interne und öffentliche Repositories von Aqua Security verschaffte. Der Angriff wird als CVE-2026-33634 (CVSS-Wert 9,4) getracked. Besonders raffiniert: TeamPCP modifizierte GitHub-Action-Tags so, dass diese auf bösartige Code-Commits verwiesen — ohne sichtbare Änderungen an Tagnamen oder Veröffentlichungsdaten. Dies ermöglichte es den Angreifern, unter dem Radar zu operieren. Die manipulierte Malware funktioniert als mehrstufiger Infostealer, stiehlt Anmeldedaten und Kryptographische Tokens und entfernt anschließend ihre Spuren.
Fünf Tage dauerte es, bis die Angreifer vollständig aus dem System entfernt waren. Nach SANS-Institute-Angaben waren über 10.000 CI/CD-Workflows betroffen.
Ausbreitung auf Docker Hub, VS Code und PyPI
Anfang März folgte der nächste Schlag: TeamPCP attackierte die KICS-Projekte von Checkmarx und injizierte Malware in VS-Code-Extensions auf dem OpenVSX-Marketplace. Die beiden betroffenen Plugins (ast-results und cx-dev-assist) wurden über 36.000 Mal heruntergeladen. Checkmarx musste alle betroffenen Versionen zurückziehen und alle Benutzer zum Rotation ihrer Geheimnisse auffordern.
Im März erweiterte TeamPCP die Kampagne auf das NPM-Ökosystem. Die sogenannte „CanisterWorm”-Malware infizierte mindestens 64 Pakete und 140 Artefakte. Die Malware nutzt eine Internet-Computer-Protocol-(ICP-)Canister als Dead Drop zur Auslieferung zusätzlicher Binärdateien und kann sich selbst auf weitere Pakete ausbreiten, indem sie gestohlene NPM-Publishing-Tokens missbraucht.
Der kritischste Angriff: LiteLLM
Der bislang schwerste Angriff traf die PyPI-Bibliothek LiteLLM, die monatlich über 95 Millionen Downloads verzeichnet. Die Versionen 1.82.7 und 1.82.8 wurden mit Infostealer-Malware infiziert. LiteLLM wird als vereinheitlichte Schnittstelle für große Sprachmodelle von OpenAI, Google und Anthropic verwendet und bietet Zugriff auf sensible API-Keys. Nach Angaben von Vx-Underground wurden etwa 300 GB Daten von rund 500.000 infizierten Maschinen exfiltriert. Wiz vermeldet, dass LiteLLM in 36 Prozent aller Cloud-Umgebungen vorhanden ist.
Geopolitische Komponente: Der “Kamikaze”-Wiper
Eine besonders beunruhigende Entdeckung: Die Kubernetes-Variante der Malware enthält einen sogenannten “Kamikaze”-Wiper, der gezielt auf iranische Systeme abzielt. Ist die Systemlokalisierung auf Iran konfiguriert, löscht die Malware das gesamte Cluster — ein klassischer destruktiver Cyberangriff mit geopolitischem Hintergrund.
Partnerschaft mit Lapsus$ und kommerzielle Monetarisierung
TeamPCP prahlt offen auf Telegram über die erfolgreichen Angriffe und deutet eine Partnerschaft mit der Erpressungsgruppe Lapsus$ an. Dies ist eine bemerkenswerte Entwicklung: Supply-Chain-Angreifer und High-Profile-Erpressungsgruppen arbeiten zusammen. Experten warnen vor einem “Kaskadeneffekt” durch das modern Cloud-Native und KI-Ökosystem.
Handlungsempfehlungen
Organisationen müssen sofort reagieren: Alle Zugangsdaten, GitHub Personal Access Tokens, Docker Registry-Anmeldungen, Kubernetes Service-Account-Tokens und Cloud-Provider-Tokens müssen rotiert werden. Vorsichtig betroffene Systeme sollten im Extremfall neu aufgebaut werden. Dies ist kein isoliertes Sicherheitsereignis, sondern der Anfang einer systemischen Kampagne, die sich weiter ausbreiten wird.