APREX · EST. 2026
Un grupo de hackers llamado TeamPCP ha llevado a cabo una ola de ataques a la cadena de suministro contra el código abierto a una escala que ha sorprendido a los investigadores de seguridad. Según Ars Technica, se trata de un grupo con motivaciones financieras y supuestas conexiones tanto con el grupo de ransomware Vect como con la notoria red Lapsus$.
Malware plantado en herramientas de desarrollo de confianza
TeamPCP se especializa en comprometer herramientas en las que los desarrolladores confían a diario. En marzo de 2026, el grupo explotó una mala configuración en Trivy – una herramienta de seguridad utilizada por más de 10.000 equipos de desarrollo – para robar una credencial de cuenta de servicio a través de GitHub Actions. Con Personal Access Tokens (PAT) robados, los atacantes forzaron commits maliciosos en repositorios populares como checkmarx/kics-github-action y aquasecurity/trivy-action.
El resultado: herramientas de seguridad conocidas se convirtieron en vectores de ataque.
Los atacantes volvieron las herramientas de seguridad contra quienes las usaban – permitiendo que la propia víctima ejecutara el malware en su pipeline.
Un gusano que se propaga solo
Uno de los elementos más preocupantes en el arsenal de TeamPCP es lo que se describe como “Mini Shai-Hulud” – un gusano autorreplicante adaptado de una variante documentada en 2025. El gusano automatiza gran parte del ataque a la cadena de suministro robando credenciales de CI/CD y usándolas para publicar versiones infectadas de nuevos paquetes.
Según la investigación de seguridad, el gusano explota una cadena de vulnerabilidades, incluyendo una “Pwn Request” a través de pull_request_target, envenenamiento de caché en GitHub Actions y la extracción de tokens OIDC del entorno de ejecución de GitHub Actions. Esto permite publicar paquetes maliciosos con pruebas de procedencia SLSA válidas – lo que hace mucho más difícil detectar la manipulación.
El propio GitHub afectado
Las consecuencias alcanzaron un nuevo nivel el 20 de mayo de 2026, cuando GitHub confirmó una brecha en la cadena de suministro directamente atribuida a TeamPCP. El ataque habría comprometido alrededor de 3.800 repositorios internos – y comenzó con un empleado de GitHub siendo víctima de un paquete previamente comprometido.
GitHub se encuentra entre las plataformas más centrales en el desarrollo global de software, y una brecha interna de esta magnitud subraya la gravedad de la capacidad del grupo.
Herramientas de IA y SDKs en el punto de mira
TeamPCP se ha dirigido particularmente a la infraestructura de IA. LiteLLM de BerriAI – una biblioteca de Python para la integración con proveedores de modelos de lenguaje grandes – fue comprometida en las versiones v1.82.7 y v1.82.8. Según el material de investigación, se estima que esto ha afectado al 36 por ciento de los entornos en la nube que utilizan la biblioteca.
También se habrían dirigido al SDK de Python de Telnyx, paquetes TanStack (84 versiones maliciosas distribuidas en 42 paquetes npm), MistralAI y elementary-data.
¿Qué hace esto especialmente peligroso?
Lo que distingue la campaña de TeamPCP de ataques anteriores a la cadena de suministro es la combinación de velocidad, precisión y comportamiento subsiguiente, según investigadores de seguridad citados por Ars Technica. El grupo no solo roba credenciales – establece acceso persistente, recolecta tokens de GitHub, claves SSH, credenciales de la nube y secretos almacenados en el navegador.
Además, muchos de los vectores de ataque están diseñados para evitar la detección: los archivos .pth en Python se ejecutan automáticamente al inicio sin requerir una importación explícita, y los paquetes maliciosos firmados por SLSA eluden las comprobaciones de integridad en las que muchas organizaciones confían.
Para los desarrolladores y organizaciones que utilizan código abierto – es decir, prácticamente todos los involucrados en el desarrollo de software – el mensaje es claro: sus listas de dependencias pueden contener amenazas que son muy difíciles de detectar con métodos convencionales.