TeamPCP se está convirtiendo en uno de los grupos de ciberdelincuentes más notados en la actualidad al llevar a cabo continuamente ataques a la cadena de suministro de software dirigidos a ecosistemas de código abierto y herramientas de IA.
Este grupo de hackers se menciona mucho después de que GitHub confirmara una filtración de datos internos en un reciente ciberataque.
Según GitHub, la causa proviene de que un desarrollador instaló una extensión maliciosa para VSCode, un editor de código fuente popular de Microsoft.
El incidente provocó la intrusión de unos 3.800 archivos internos, aunque GitHub afirmó que los datos de los clientes no se vieron afectados.
Después del incidente, se dice que TeamPCP publicó un artículo en el foro de ciberdelincuencia BreachForums para vender código fuente y datos internos de GitHub. El grupo declaró que estaba dispuesto a proporcionar muestras de datos a los compradores para demostrar su autenticidad.
Según expertos en seguridad cibernética, TeamPCP surgió a finales de 2025. Inicialmente, este grupo explotó configuraciones incorrectas en la plataforma en la nube junto con vulnerabilidades en la herramienta de desarrollo de aplicaciones Next.js para propagar botnets, robar información de inicio de sesión y minar criptomonedas ilegalmente.
Un punto preocupante es que TeamPCP se centra en atacar las cadenas de suministro de software. Esta es una forma en que los hackers instalan malware en software legítimo para distribuir malware a una amplia gama de usuarios y empresas.
La forma en que opera este grupo generalmente comienza con la intrusión en el entorno de desarrollo de una herramienta de código abierto popular. Luego, los hackers insertan en secreto malware en el software. Cuando los programadores o las empresas descargan y usan esa herramienta, el malware continúa propagándose a otros sistemas.
A través de este proceso, TeamPCP puede robar información de inicio de sesión, códigos de autenticación y acceso a muchas plataformas de desarrollo de software.
Los expertos dicen que el grupo de hackers también utiliza un tipo de gusano informático auto-infeccioso llamado "Mini Shai-Hulud" para automatizar ataques a gran escala.
Según la empresa de seguridad cibernética Socket, en solo unos meses, TeamPCP ha llevado a cabo alrededor de 20 campañas de ataque a la cadena de suministro, instalando malware en más de 500 programas diferentes. Se cree que cientos de empresas se han visto afectadas.
No solo GitHub, muchas grandes organizaciones tecnológicas también se han convertido en objetivos de este grupo de hackers. Se sospecha que TeamPCP está detrás de los ataques relacionados con OpenAI, la plataforma de datos Mercor y la herramienta de IA LiteLLM en la tienda de software Python PyPI.
Se dice que otras empresas y organizaciones como Checkmarx, TanStack, la plataforma de IA Mistral también se vieron afectadas por las campañas de este grupo de hackers.
Los expertos opinan que el principal motivo de TeamPCP son las finanzas. Este grupo suele desplegar software de chantaje, robar datos o vender información a terceros.
También se dice que TeamPCP ha cambiado al modelo "ransomware-as-a-service", es decir, proporcionando servicios de ransomware a otros grupos de ciberdelincuentes.
Para reducir el riesgo de ser atacado, los expertos recomiendan que las empresas fortalezcan la seguridad cibernética, como controlar el acceso, gestionar estrictamente el código de autenticación y cambiar regularmente los tokens de inicio de sesión.
Además, las organizaciones deben verificar cuidadosamente las actualizaciones de software de código abierto antes de instalar en lugar de actualizar automáticamente de inmediato.
