## TeamPCP déploie un wiper ciblant l'Iran après des attaques sur la chaîne d'approvisionnement Un groupe de vol de données et d'extorsion à motivation financière, **TeamPCP**, tente de s'immiscer dans le conflit iranien en déployant un ver qui se propage via des services cloud mal sécurisés. Le ver efface les données sur les systèmes infectés qui utilisent le fuseau horaire de l'Iran ou ont le farsi comme langue par défaut. Les experts affirment que la campagne de wiper contre l'Iran s'est matérialisée ce week-end. En décembre 2025, le groupe a commencé à compromettre des environnements cloud d'entreprise en utilisant un ver auto-propagateur qui ciblait les API Docker exposées, les clusters Kubernetes, les serveurs Redis et la vulnérabilité React2Shell. TeamPCP a ensuite tenté de se déplacer latéralement à travers les réseaux des victimes, en siphonant les identifiants d'authentification et en extorquant les victimes via Telegram.  ## Plateforme d'exploitation Cloud-Native Dans un profil de TeamPCP publié en janvier, la société de sécurité **Flare** a déclaré que le groupe arme les plans de contrôle exposés plutôt que d'exploiter les points d'extrémité, ciblant principalement l'infrastructure cloud plutôt que les appareils des utilisateurs finaux. **Azure** (61 %) et **AWS** (36 %) représentent 97 % des serveurs compromis. « La force de TeamPCP ne vient pas d'exploits nouveaux ou de malwares originaux, mais de l'automatisation et de l'intégration à grande échelle de techniques d'attaque bien connues », a écrit **Assaf Morag** de **Flare**. « Le groupe industrialise les vulnérabilités existantes, les mauvaises configurations et les outils recyclés en une plateforme d'exploitation cloud-native qui transforme l'infrastructure exposée en un écosystème criminel auto-propagateur. » ## Attaque de la chaîne d'approvisionnement Trivy Le 19 mars, TeamPCP a exécuté une attaque de la chaîne d'approvisionnement contre le scanner de vulnérabilités **Trivy** d'**Aqua Security**, en injectant un malware de vol d'identifiants dans des versions officielles sur GitHub actions. Aqua Security a depuis supprimé les fichiers malveillants. La société de sécurité **Wiz** note que les attaquants ont pu publier des versions malveillantes qui ont dérobé des clés SSH, des identifiants cloud, des jetons Kubernetes et des portefeuilles de cryptomonnaies aux utilisateurs. ## CanisterWorm et le lien iranien Ce week-end, la même infrastructure technique que TeamPCP a utilisée dans l'attaque Trivy a été exploitée pour déployer une nouvelle charge utile malveillante qui exécute une attaque par wiper si le fuseau horaire et la locale de l'utilisateur correspondent à l'Iran, a déclaré **Charlie Eriksen**, chercheur en sécurité chez **Aikido**. Dans un article de blog publié dimanche, Eriksen a déclaré que si le composant wiper détecte que la victime se trouve en Iran et a accès à un cluster Kubernetes, il détruira les données sur chaque nœud de ce cluster. « Sinon, il effacera simplement la machine locale », a déclaré Eriksen à KrebsOnSecurity.  Aikido fait référence à l'infrastructure de TeamPCP sous le nom de « **CanisterWorm** » car le groupe orchestre ses campagnes à l'aide d'un canister Internet Computer Protocol (ICP) — un système de « smart contracts » inviolables basés sur la blockchain qui combinent à la fois le code et les données. Les canisters ICP peuvent servir du contenu Web directement aux visiteurs, et leur architecture distribuée les rend résistants aux tentatives de démantèlement. Ces canisters resteront accessibles tant que leurs opérateurs continueront à payer des frais en monnaie virtuelle pour les maintenir en ligne. Eriksen a déclaré que les personnes derrière TeamPCP se vantent de leurs exploits dans un groupe sur Telegram et prétendent avoir utilisé le ver pour voler d'énormes quantités de données sensibles à de grandes entreprises, y compris une grande entreprise pharmaceutique multinationale. ## Problème de malware sur GitHub Les experts en sécurité affirment que les messages spammés sur GitHub pourraient être un moyen pour TeamPCP de s'assurer que tous les packages de code contaminés par leur malware restent en tête des recherches GitHub. Dans une newsletter publiée aujourd'hui intitulée *GitHub is Starting to Have a Real Malware Problem*, le journaliste de **Risky Business** **Catalin Cimpanu** écrit que les attaquants sont souvent vus en train de pousser des commits dénués de sens vers leurs dépôts ou d'utiliser des services en ligne qui vendent des étoiles et des « likes » GitHub pour maintenir les packages malveillants en tête de la page de recherche GitHub. L'épidémie de ce week-end est la deuxième attaque majeure de la chaîne d'approvisionnement impliquant Trivy en autant de mois. Fin février, Trivy a été touché dans le cadre d'une menace automatisée appelée HackerBot-Claw, qui a massivement exploité des workflows mal configurés dans GitHub Actions pour voler des jetons d'authentification. ## Compromission de KICS Wiz rapporte que TeamPCP a également poussé un malware de vol d'identifiants vers le scanner de vulnérabilités **KICS** de **Checkmarx**, et que l'action GitHub du scanner a été compromise entre 12h58 et 16h50 UTC aujourd'hui (23 mars). ## Conclusion Les activités récentes de TeamPCP démontrent un paysage de menaces en pleine expansion, l'infrastructure cloud et les chaînes d'approvisionnement devenant des cibles de plus en plus attrayantes. Les professionnels de la sécurité devraient prioriser la sécurisation de leurs environnements cloud, la mise en œuvre de mesures robustes de sécurité de la chaîne d'approvisionnement et rester vigilants face aux menaces émergentes.