Nach Analyse von Socket folgt der Angriff auf Linux und macOS einer dreistufigen Laufzeitkette: Auslieferung über Audio-Steganografie, Ausführung eines Datensammlers im Arbeitsspeicher und verschlüsselte Exfiltration. Die gesamte Kette laufe in einem sich selbst zerstörenden temporären Verzeichnis ab und hinterlasse nahezu keine forensischen Spuren auf dem Host.
Unter Windows lädt die Malware vom Steuerserver (C2) eine Datei namens “hangup.wav” herunter, extrahiert aus den Audiodaten eine ausführbare Datei und legt sie als “msbuild.exe” im Autostart-Ordner ab. Dadurch übersteht sie Neustarts und wird bei jeder Anmeldung automatisch ausgeführt. Auf Linux- und macOS-Systemen wird stattdessen die Datei “ringtone.wav” vom selben Server abgerufen, um daraus ein Sammelskript der dritten Stufe zu gewinnen und auszuführen. Der Datensammler erfasst eine breite Palette sensibler Daten und schickt sie als “tpcp.tar.gz” per HTTP-POST-Anfrage an “83.142.209[.]203:8080”.
Auffällig ist laut Socket die unterschiedliche Strategie je Plattform: Windows erhält Persistenz – eine Binärdatei im Autostart, die dem Akteur langfristigen, wiederholbaren Zugriff verschafft. Auf Linux und macOS handelt es sich dagegen um eine “Smash-and-Grab”-Operation: ein einmaliger, schneller Datenabgriff, der alles Wertvolle einsammelt, sofort exfiltriert und anschließend rückstandslos verschwindet, indem das temporäre Verzeichnis rekursiv gelöscht wird.
Wie TeamPCP an den PYPI_TOKEN des Pakets gelangte, ist nicht bekannt; vermutlich stammt er aus einer früheren Operation zum Abgreifen von Zugangsdaten. Die Endor-Labs-Forscher Kiran Raj und Rachana Misal halten die litellm-Kompromittierung selbst für den wahrscheinlichsten Vektor: Der Datensammler von TeamPCP durchsuchte Umgebungsvariablen, .env-Dateien und Shell-Verläufe aller Systeme, die litellm importierten. Hatte ein Entwickler oder eine CI-Pipeline sowohl litellm installiert als auch Zugriff auf den telnyx-PyPI-Token, befand sich dieser Token bereits in den Händen des Akteurs.
Der Vorfall reiht sich in eine breitere, laufende Kampagne ein. Statt schädliche Typosquats direkt zu veröffentlichen, infiziert TeamPCP gezielt legitime, vertrauenswürdige Pakete mit großer Nutzerbasis, um den Wirkungsradius zu vergrößern. Laut Snyk konzentriert sich die Zielauswahl auf Werkzeuge mit erhöhtem Zugriff auf automatisierte Pipelines – einen Container-Scanner (Trivy), ein Werkzeug zum Scannen von Infrastruktur (KICS) und eine Bibliothek zum Routing von KI-Modellen (litellm) –, die alle bauartbedingt weitreichenden Lesezugriff auf Zugangsdaten, Konfigurationen und Umgebungsvariablen benötigen.
Nach Angaben der Berichte hat TeamPCP zudem Kooperationen mit anderen Cyberkriminellen-Gruppen angekündigt, darunter LAPSUS$ und eine aufstrebende Ransomware-Gruppe namens Vect, um Erpressungs- und Ransomware-Operationen durchzuführen. Das deutet auf eine Verschiebung hin, bei der Ransomware-Banden Lieferketten-Angriffe auf Open-Source-Infrastruktur als Einstiegspunkt nutzen. Socket betont, dass damit alles im CI/CD-Umfeld in den Fokus rückt, was nicht abgesichert ist: Sicherheits-Scanner, IDE-Erweiterungen und Build-Werkzeuge erhalten weitreichenden Zugriff – greifen Angreifer die Werkzeuge selbst an, muss alles in der Pipeline als möglicher Einstiegspunkt gelten.
