En 2026 se está produciendo uno de los hackeos más grandes de la cadena de suministro de software: el grupo TeamPCP comprometió herramientas de seguridad, repositorios y paquetes de software de uso masivo.
Qué es el hackeo
- Ataque a la cadena de suministro de software: los hackers infectan herramientas de análisis de seguridad y repositorios públicos (Trivy, Checkmarx, Docker Hub, npm, PyPI, LiteLLM).
- Incluye credenciales robadas, gusano en npm y uso de blockchain para comandos C2 imposibles de bloquear.
Cómo se extendió
- Many organizations usan estas herramientas sin hacer nada malo: ni instalaron nada nuevo, ni actualizaron, solo las tenían integradas en sus flujos de CI/CD.
- Los malware propagado mediante paquetes npm infectados, que se ejecutan cada vez que se lanza un escaneo o build.
Qué robaron
- Hasta 30 GB de datos según estimaciones iniciales: API keys, tokens, credenciales internas y configuraciones.
- Ataques orientados a acceso persistente y robo de datos sensibles, no solo DDoS o ruido publicitario.
Gravedad y respuestas
- Puntuación de criticidad: 9.4/10, considerado el ataque más fuerte de 2026 hasta ahora.
- CISA, FBI y agencias de ciberseguridad europeas ya han emitido alertas para que empresas reseteen credenciales y revisen dependencias usadas en builds.
Qué hacer si usas estas herramientas
- Rotate all tokens, keys y contraseñas que se hayan usado en pipelines o repositorios afectados.
- Actualiza o purga paquetes npm/PyPI vinculados a herramientas de seguridad comprometidas.
- Usa MFA e identidad como “nuevo perímetro” (no solo fortalecer el firewall).
