Netcrook Logo
👤 LOGICFALCON
🗓️ 03 Apr 2026   🌍 Europe

Caos nella supply chain: gli attacchi di TeamPCP si intensificano mentre hacker rivali si contendono i dati rubati

Un’ondata di violazioni in escalation mette a nudo non solo le supply chain del software, ma anche le alleanze e le rivalità intrecciate che alimentano l’economia del cybercrimine di oggi.

È iniziato con codice avvelenato - ma le conseguenze ormai vanno ben oltre. Mentre i famigerati attacchi alla supply chain della crew cybercriminale TeamPCP si propagano in tutto il mondo, si sta consumando un dramma improbabile: bande di hacker rivali si stanno combattendo per il bottino digitale, lasciando le organizzazioni vittime a arrancare nel tentativo di contenere il caos. Ciò che era iniziato come un’infiltrazione tecnica si è trasformato in una guerra di territorio ad alta posta, in cui le credenziali cloud diventano merce di scambio e le minacce di estorsione si moltiplicano da un giorno all’altro.

Le ultime rivelazioni mostrano quanto rapidamente un singolo pacchetto software compromesso possa degenerare in un incidente globale. Quando TeamPCP ha contaminato strumenti open source popolari come Trivy e LiteLLM, non si è limitata a iniettare codice malevolo: ha aperto un varco per il furto di credenziali su scala industriale. La Commissione europea, per esempio, ha installato inconsapevolmente una versione trappola di Trivy, consegnando chiavi di accesso al cloud che gli attaccanti hanno poi usato per infiltrarsi nel suo ambiente Amazon Web Services (AWS). Nel giro di poche ore, queste credenziali sono state sfruttate, i dati sensibili sono stati esfiltrati e la violazione è diventata di dominio pubblico solo giorni dopo.

Ma la devastazione tecnica è solo metà della storia. Entrano in scena ShinyHunters e Lapsus$, due collettivi cybercriminali ben noti. Entrambi hanno rilasciato o minacciato di rilasciare enormi quantità di dati rubati dalle stesse vittime, eppure gli investigatori affermano che i gruppi non stanno collaborando - anzi, TeamPCP e ShinyHunters sembrano litigare online. Questa convergenza di più attori della minaccia sullo stesso bottino digitale ha creato confusione sia per le vittime sia per i team di sicurezza: chi ha davvero rubato cosa, e chi c’è dietro le ultime minacce di estorsione?

La situazione è ulteriormente complicata dalla recente alleanza di TeamPCP con Vect, una gang ransomware desiderosa di trasformare in arma l’accesso del gruppo. I ricercatori di sicurezza avvertono che la combinazione di credenziali rubate e trojan di accesso remoto (RAT) potrebbe portare a una nuova ondata di attacchi ransomware, diffondendosi rapidamente attraverso librerie software avvelenate. Come osserva Tomer Peled di Akamai, “Vect avrà ora accesso a potenzialmente milioni di vittime che possono essere infettate con il loro ransomware tramite il RAT di TeamPCP”.

Per i difensori, le lezioni sono amare. La finestra di risposta si è ridotta a poche ore, rendendo fondamentale non solo rimuovere i pacchetti compromessi, ma revocare e ruotare immediatamente tutte le credenziali e i token esposti. I team di sicurezza devono anche esaminare con attenzione le proprie pipeline di sviluppo software, alla ricerca di segnali di intrusione e attività sospette.

In definitiva, la saga di TeamPCP è un monito netto: gli attacchi alla supply chain del software di oggi non sono solo problemi di integrità - sono violazioni aziendali a tutti gli effetti, con un cast a rotazione di cybercriminali pronti a sfruttare ogni crepa. Mentre le alleanze cambiano e le rivalità si consumano in tempo reale, le organizzazioni devono restare vigili, agili e pronte a rispondere in un attimo.

WIKICROOK

  • Attacco alla supply chain: Un attacco alla supply chain è un attacco informatico che compromette fornitori di software o hardware considerati affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • Furto di credenziali: Il furto di credenziali avviene quando gli hacker sottraggono nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.
  • Trojan di accesso remoto (RAT): Un Trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furti e attività di spionaggio.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.
  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
Supply Chain Attacks Cybercrime Credential Theft
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news