Die Hackergruppe TeamPCP verfolgt ein klares Muster: Sie greift gezielt KI-Entwicklungswerkzeuge an und sorgt damit für Supply-Chain-Angriffe im großen Stil. In kurzer Zeit hat die Gruppe zwei große Angriffswellen über Trivy und Telnyx gestartet und will die Betroffenen mit Ransomware erpressen.
Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren.
Zwischen Februar und März 2026 führte die bis dato noch recht unbekannte Hackergruppe „TeamPCP“ eine Angriffskampagne durch, die weitreichende Folgen haben und die Gruppe weltweit bekannt machen sollte. Wie unter anderem die Sicherheitsforscher von Palo Alto Networks berichten, begann die Gruppe damit, mithilfe des Open-Source-Schwachstellenscanners Trivy von Aqua Security KI-bezogene Bibliotheken in den Ökosystemen NPM, PyPI, Go, OpenVSX sowie auf GitHub anzugreifen. Besonders der Angriff auf das LiteLLM-PyPI-Paket hatte dramatische Cyberangriffe zur Folge. Dabei handelt es sich um ein Open Source Python-Toolkit. Es bietet Entwicklern eine Schnittstelle zu verschiedenen Large Language Models (LLM).
Kurz darauf wurde auch das offizielle Pyhton-SDK (Software Development Kit) von Telnyx als betroffen gemeldet, wobei hier im Unterschied zu den Trivy‑Vorfällen offenbar nicht das Scanner‑Tool selbst ausgenutzt wurde, sondern die Angreifer gestohlene Publishing‑ und Maintainer‑Credentials aus dem LiteLLM‑Kompromittierung verwendeten, um die bösartigen TelnyxVersionen direkt auf PyPI hochzuladen. Telnyx ist eine Cloud-basierte Sprachlösung, die herkömmliche Telefonanrufe direkt über respond.io ermöglicht. Die Python-Bibliothek wurde im vergangenen Monat rund 650.000Mal heruntergeladen. Konkret wurden zwei manipulierte Versionen des PyPI-Repository veröffentlicht, die mittlerweile unter Quarantäne gestellt wurden.
Wie die Sicherheitsforscher von JFrog berichten, seien beide Kompromittierungen TeamPCP zuzuordnen. Eindeutiger Beweis sei der identische öffentliche RSA-4096-Schlüssel. Auch die Exfiltrationslogik sei nahezu identisch und lediglich die Namen der eingerichteten Systemdienste würden sich unterscheiden, „sysmon“ bei LiteLLM, „audiomon“ bei Telnyx.
Unter anderem hatten die Sicherheitsforscher von JFrog über die Vorfälle berichtet. Parallel haben Einzelpersonen und Forschungsunternehmen auf die Lieferkettenangriffe hingewiesen, was das enorme Ausmaß verdeutlicht.
Aqua selbst berichtete, dass Cyberkriminelle am 19. März 2026 Zugangsdaten kompromittierten, um schädliche Versionen und Actions des Trivy-Scanners zu veröffentlichen. Die Version 0.69.4 sowie die Actions „trivy-action“ und „setup-trivy“ wurden manipuliert, was Tausende von CI/CD-Workflows und Cloud-Umgebungen gefährden könnte. Für den Erstzugriff hatten die Akteure eine Fehlkonfiguration in der GitHub Actions-Umgebung von Trivy ausgenutzt. Dadurch konnten sie ein privilegiertes Zugriffstoken erlangen und sich so Zugang zu den Automatisierungs- und Release-Prozessen des Repositorys verschaffen. Noch am selben Tag sei Aqua in der Lage gewesen, den Angriff zu isolieren und die schädlichen Dateien aus den Vertriebskanälen zu entfernen.
Eine Woche später, am 27. März 2026, wurden JFrog nach die bösartigen Versionen von Telnyx – 4.87.1 und 4.87.2 – hochgeladen. Sie hätten Schadcode enthalten, der den genannten früheren Angriffen von TeamPCP über Trivy geähnelt habe. Die Schadsoftware sei in die Datei „telnyx/_client.py“ eingefügt worden. Um die Aktivität als legitime Funktion des Pakets zu tarnen, hätten die Akteure die Schadsoftware in einer gültigen ringtone.wav-Datei ausgeliefert, die dem Zweck der Bibliothek als KI-Sprachagent entspricht. Das Schadpaket habe die gültige WAV-Datei heruntergeladen, die schädlich kodierte Schadsoftware aus den Audio-Frames extrahiert und ausgeführt.
Nachdem die Analysten von JFrog sich die schädliche Payload genauer angesehen haben, stellten sie zwei relevante Punkte fest:
1. Die Payload-URLs, zum Beispiel „hxxp[://]83[.]142[.]209[.]203[:]8080/ringtone[.]wav“, würden ein unsicheres HTTP-Protokoll verwenden und direkt auf IP-Adressen anstatt auf Domains zugreifen.
2. Der schädliche Telnyx-Code überprüfe die heruntergeladene WAV-Datei vor der Ausführung nicht.
Dies bedeute, dass Man-in-the-Middle-Angreifer (MitM) diese Anfragen abfangen könnten. Nicht nur Akteure von TeamPCP seien also in der Lage, auf Anfragen mit einer eigenen, manipulierten ringtone.wav-Datei im korrekten Format zu antworten, sondern auch andere Cyberkriminelle. Somit besteht weiterhin ein Risiko für Nutzer von Telnyx PyPI, obwohl die manipulierten Versionen isoliert wurden, da bereits Kopien der bösartigen Releases in lokalen Caches, CI‑Builds oder Images vorhanden sein können und die Nachstufe ungesichert per HTTP nachgeladen werden kann, sodass auch Dritte die Infektion auslösen könnten.
Palo Alto Networks zufolge ist TeamPCP auch unter den Namen „PCPcat“, „ShellForce“ und „DeadCatx3“ bekannt und ist seit mindestens September 2025 aktiv. Die Analysten gehen davon aus, dass TeamPCP hinter der React2Shell-Kampagne steckt, die im Dezember 2025 für Aufsehen sorgte. Zudem soll die Gruppe auch hinter dem jüngsten Cyberangriff auf die EU-Kommission stecken, bei dem 350 Gigabyte an Daten gestohlen wurden. In beiden Fällen nahmen die Hacker Cloud-Umgebungen ins Visier.
Das Ziel von TeamPCP ist es, Zugangsdaten zu kompromittieren und datensammelnde Infostealer-Malware einzuschleusen. Dann will die Gruppe die Systeme verschlüsseln und die Betroffenen erpressen. Den Sicherheitsforschern von Socket zufolge, arbeitet TeamPCP dafür mittlerweile mit einem Ransomware-Akteur namens „Vect“ zusammen. Die Akteure hätten angekündigt, Ransomware in allen Unternehmen zu verbreiten, die von den Trivy- und Telnyx-Angriffen betroffen sind.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die erste Maßnahme zu Schutz von Lieferkettenangriffen solcher Art sollte es sein, die schädlichen Pakete zu entfernen. Im Falle von Trivy sind dies die Version 0.69.4 sowie die Actions trivy-action und setup-trivy. Im Falle von Telnyx sind dies die Versionen „telnyx==4.87.1“ und „telnyx==4.87.2“.
Die Forscher von JFrog haben konkrete folgende Maßnahmen für Unternehmen und Entwickler bereitgestellt, die besorgt sind, von dem Supply-Chain-Angriff über Telnyx betroffen zu sein:
Überprüfen Sie, ob Sie die infizierten Versionen „telnyx==4.87.1“ oder „telnyx==4.87.2“ installiert haben, mit dem Befehl „pip show telnyx“. Deinstallieren Sie die Pakete umgehend mit „pip uninstall telnyx“.
Installieren Sie eine saubere Version mit „pip install telnyx==4.87.0“.
Blockieren Sie jegliche Kommunikation über C2-Adressen.
Widerrufen und rotieren Sie alle offengelegten Anmeldeinformationen. Sie sollten davon ausgehen, dass alle auf dem lokalen Rechner gespeicherten Daten, einschließlich der „.env“-Datei und anderer Anmeldeinformationen, kompromittiert sind.
Suchen Sie nach weiteren Kompromittierungs-Spuren, indem Sie unter Windows überprüfen, ob die Malware-Payload auf der Festplatte vorhanden ist, unter „%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\msbuild.exe“
Für Trivy-User gibt es ebenfalls genaue Handlungsempfehlungen und Indicators of Compromise:
Prüfen Sie, ob Sie die anfällige Version 0.69.4 oder eine der Actions trivy-action oder setup-triv verwenden und entfernen Sie diese.
Installieren Sie eine der sicheren Versionen v0.69.2 bis v0.69.3 für Trivy binary, v0.35.0 für trivy-action und v0.2.6 für setup-trivy.
Entfernen und ersetzen Sie kompromittierte Artefakte.
Nehmen Sie an, dass Ihre Secrets kompromittiert sind unn Rotieren Sie alle Secrets.
Überprüfen Sie alle Workflows, die „aquasecurity/trivy-action“ oder „aquasecurity/setup-trivy“ verwenden. Prüfen Sie die Workflow-Ausführungsprotokolle vom 19. bis 20. März 2026 auf Anzeichen einer Kompromittierung. Überprüfen Sie außerdem alle Workflows, die auf „aquasecurity/kics-github-action“ verweisen. Diese Repository war am 23. März von einer ähnlichen Kompromittierung betroffen.
Suchen Sie in Ihrer GitHub-Organisation nach Repositories mit dem Namen „tpcp-docs“. Das Vorhandensein eines solchen Repositorys kann auf eine erfolgreiche Exfiltration über den Fallback-Mechanismus hindeuten.
Auf Entwicklerrechnern, auf denen die schädliche Trivy-Datei möglicherweise ausgeführt wurde, überprüfen Sie das Verzeichnis „~/.config/systemd/user/sysmon.py“ und die zugehörigen „systemd“-Benutzerdateien auf den Persistenz-Dropper. Entfernen Sie diesen umgehend, falls er gefunden wird.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/8c/b88c9a0aab945495440412ada3fe9929/0130446469v2.jpeg "Eine Honeypot-Analyse von Forescout zeigt: Zwei Drittel aller OT-Angriffe richten sich gegen Netzwerkperimeter-Geräte wie industrielle Router und Firewalls. (Bild: © vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c7/13/c713c4f0e73512c3178a7d03f1fd4e3a/0130524374v2.jpeg "Iranische Cyberkriminelle sollen Regierungsbehörden sowie Anlagen der Wasserversorgung und des Energiesektors in den USA angegriffen haben. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/9d/349d5930b76b72de20d09e4474c67a02/0130522416v2.jpeg "Über die Sicherheitslücke EUVD-2023-55046 / CVE-202350224 konnten Hacker des russischen Geheimdienstes tausende TP-Link-Router weltweit kompromittieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/e0/5ce060d4d2f8c718ecc850759b1b7c4d/0126593157v1.jpeg "External Attack Surface Management (EASM) ist die Verwaltung und Absicherung der von außen zugänglichen digitalen Assets und externen Angriffsflächen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/cf/5d/cf5da0043082855d2d1a704fc9398cb6/0129551486v1.jpeg "Confidential Computing: Hardwaregestützte Cloud-Enklaven schützen sensible Daten und KI-Modelle selbst vor privilegierten Plattformzugriffen. (Bild: © Ico Maker - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/66/3b6610f1aa9da16409d908ef6d2e9135/0130374406v1.jpeg "Eine Standard-Recovery reicht heute nicht mehr aus. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/bf/e2bf035b1d8de78f564ef0671e54160a/0130522449v1.jpeg "Noch bis zum 15. April 2026 können Sie sich als Speaker bei der MCTTP bewerben. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/fc/e2/fce2aa6d9c7883d3e8b72999eb1d2711/0130120519v1.jpeg "Axians Katalog mit SAP-Add-ons umfasst 24 spezialisierte Lösungen. (Bild: Axians)")
:quality(80)/p7i.vogel.de/wcms/77/0c/770c05f35154712fdfd26d88a5456606/0126493215v2.jpeg "Die nächste Verhandlung über die „Regulation to Prevent and Combat Child Sexual Abuse“ (CSAR) findet am 12. September 2025. Am 14. Oktober 2025 soll dann final über eine neue EU-Verordnung abgestimmt werden. (© growth.ai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ce/56/ce56058111b56b9e7e7210d9845af641/0129566793v1.jpeg "Das Authentifizierungsverfahren NT LAN Manager basiert auf einem Challenge-Response-Verfahren ohne gegenseitige Authentifizierung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/af/adaf72bc5bbfa64f7a6b3b1da3fe08d3/0130450412v2.jpeg "Delegated Managed Service Accounts (dMSA) in Windows Server 2025 ersetzen statische Kennwörter durch gerätegebundene Kerberos-Anmeldungen und ermöglichen automatisierte Schlüsselrotation ohne Betriebsunterbrechung. (Bild: © monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/e5/13e52ba754a65049c995146bac2f5426/0130048944v2.jpeg "Das US-Außenministerium hat sechs Männer sanktioniert, die zu CyberAv3ngers gehören. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/d2/43d2604538d6ae5a50d26cccc98cb9e6/0130112281v1.jpeg "IT-Governance ist ein wesentlicher Bestandteil der Unternehmensführung und bildet einen Ordnungsrahmen für die IT. (Bild: @indypendenz via Canva: Visual Suite for Everyone)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/48/33/4833cacbcfce7e25fecc9b8b4e6b494a/0129709900v2.jpeg "Die Phishing-Angriffe von TGR-STA-1030 beginnen laut Palo Alto Networks meist mit E-Mails, die an Regierungsmitarbeiter gesendet werden und den Vorwand einer Ministeriums- oder Behördeumstrukturierung nutzen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/a3/3fa3fe21043afa983fa1099b9ea47947/0128734705v2.jpeg "Npm-Pakete sind essentielle Bibliotheken für die Entwicklung von Softwareanwendungen. In AdonisJS und jsPDF finden sich zwei kritische Path-Traversal-Schwachstellen, weswegen ein Update dringend notwendig ist. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3b/06/3b06f1d5902a48e4ee3a04559f95291a/0128577587v2.jpeg "Die Schwachstelle CVE-2025-55182 in React Server Components erlaubt Remote Code Execution und nachgelagerte Linux-Backdoors. React und Next.js liefern Fixes, die sofort ausgerollt werden sollten. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/07/17/071777879046e5c3fe439bf33688ea58/0116975583.jpeg "Gartner prognostiziert, dass bis 2025 45 Prozent der Unternehmen Angriffe auf ihre Software-Lieferketten erleben werden. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/ca/d9ca10c14ad3318723d5e0781475f3c0/0125540345v1.jpeg "Paket-Halluzinationen verbreiten sich wie Lauffeuer durch KI-gestützte Autovervollständigung von Code, durch gefälschte Tutorials und KI-generierte, wiederverwendbare Code-Snippets. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/f9/c1f99e160ec81d64d02ae9e798055e82/0125361328v2.jpeg "Der von Entwicklern gerne eingesetzte Trigger „pull_request_target“ führt Code aus öffentlichen Forks automatisch aus, ohne diesen zu prüfen. Dies führte bei MITRE, Splunk und Spotipy nun zu Schwachstellen. (Bild: Kittiphat - stock.adobe.com)")