{"id":134,"date":"2026-06-20T00:00:01","date_gmt":"2026-06-19T22:00:01","guid":{"rendered":"https:\/\/shattered.io\/se\/?p=134"},"modified":"2026-06-20T04:52:36","modified_gmt":"2026-06-20T04:52:36","slug":"teampcp-2026-trivy-checkmarx-axios-supply-chain","status":"publish","type":"post","link":"https:\/\/shattered.io\/se\/teampcp-2026-trivy-checkmarx-axios-supply-chain\/","title":{"rendered":"TeamPCP 2026: 5 s\u00e4kerhetsverktyg hackade p\u00e5 12 dagar"},"content":{"rendered":"\n

Den 19 mars 2026 klockan 17:43 UTC aktiverade hotakt\u00f6ren TeamPCP ett enda komprometterat GitHub Personal Access Token i Aqua Securitys organisation. Det var startpunkten f\u00f6r en attackkampanj som p\u00e5 tolv dagar komprometterade fem av v\u00e4rldens mest anv\u00e4nda \u00f6ppen k\u00e4llkodsverktyg, satte miljoner CI\/CD-pipelines i riskzonen och placerade leveranskedjeattacker h\u00f6gst p\u00e5 agendan f\u00f6r DevSecOps-team globalt, inklusive i Sverige och Norden.<\/p>\n\n\n\n

Hur ett enda gl\u00f6mt access-token raserade branschens f\u00f6rtroende<\/h2>\n\n\n\n

Attacken mot Aqua Securitys Trivy-scanner hade sina r\u00f6tter i en s\u00e5rbarhet som identifierades m\u00e5nader i f\u00f6rv\u00e4g. Den 29 november 2025 flaggade s\u00e4kerhetsf\u00f6retaget Boost Securitys automatiserade verktyg poutine<\/code> f\u00f6r en kritisk CI\/CD-konfigurationssvaghet i Trivys GitHub-repository: en pull_request_target<\/code>-misconfiguration i filen apidiff.yaml<\/code> som lagts till i oktober 2025. Ingen \u00e5tg\u00e4rd vidtogs under de n\u00e4rmast fyra m\u00e5nader som f\u00f6ljde.<\/p>\n\n\n\n

“Misconfigurationen i apidiff.yaml<\/code> var en v\u00e4lk\u00e4nd CI-s\u00e5rbarhet som m\u00f6jliggjorde st\u00f6ld av inloggningsuppgifter. Vi flaggade den i november 2025, men ingen \u00e5tg\u00e4rd vidtogs f\u00f6rr\u00e4n attacken v\u00e4l hade intr\u00e4ffat”, s\u00e4ger Paul McCarty<\/strong>, s\u00e4kerhetsforskare p\u00e5 Boost Security och skapare av poutine<\/em>-verktyget som identifierade bristen.<\/p>\n\n\n\n

Den 20 februari 2026 skapades GitHub-kontot hackerbot-claw<\/code>. Under februari m\u00e5nads sista vecka skannade kontot systematiskt publika GitHub-repositories efter exploaterbara Actions-konfigurationer, inklusive felaktiga pull_request_target<\/code>-workflows hos Microsoft, Datadog och Aqua Security. TeamPCP hade t\u00e5lamod: fr\u00e5n kontots skapande till den faktiska attacken gick n\u00e4stan en m\u00e5nad av f\u00f6rberedelser, rekognoscering och positionering.<\/p>\n\n\n\n

Trivy \u00e4r ingen obetydlig komponent i moderna CI\/CD-pipelines. Aqua Securitys \u00f6ppen k\u00e4llkods-containerscanner anv\u00e4nds i uppskattningsvis 90 procent av alla cloud-native CI\/CD-pipelines globalt. Med en s\u00e5dan marknadst\u00e4ckning fick attacken omedelbar, global r\u00e4ckvidd och drabbade sannolikt ett stort antal svenska och nordiska organisationer som f\u00f6rlitar sig p\u00e5 verktyget f\u00f6r s\u00e5rbarhetsskanning av containrar.<\/p>\n\n\n\n

Tidslinje: TeamPCP-kampanjens spridning mars till april 2026<\/h2>\n\n\n\n

Kampanjen rullade ut i distinkta faser, var och en byggd p\u00e5 inloggningsuppgifter och \u00e5tkomst stulna i f\u00f6reg\u00e5ende steg. Kedjans natur innebar att varje komprometterat verktyg \u00f6ppnade d\u00f6rren f\u00f6r n\u00e4sta angrepp, i en eskalering som p\u00e5 tolv dagar tr\u00e4ffade fem separata ekosystem.<\/p>\n\n\n\n

Datum 2026<\/th>M\u00e5l<\/th>Ekosystem<\/th>Angreppsvektor<\/th>M\u00e5natliga nedladdningar<\/th><\/tr><\/thead>
19 mars<\/td>Trivy (Aqua Security)<\/td>GitHub Actions \/ Docker<\/td>PAT-st\u00f6ld via pull_request_target<\/td>Miljoner CI\/CD-k\u00f6rningar<\/td><\/tr>
21 mars<\/td>Checkmarx AST<\/td>GitHub Actions<\/td>Identisk credential-stealer som Trivy<\/td>Utbredd CI\/CD-anv\u00e4ndning<\/td><\/tr>
23 mars<\/td>Checkmarx KICS (35 taggar)<\/td>GitHub Actions \/ OpenVSX<\/td>Komprometterat cx-plugins-releases-konto<\/td>Hundratusentals dagligen<\/td><\/tr>
24 mars<\/td>LiteLLM<\/td>PyPI<\/td>Via Trivy-stulna inloggningsuppgifter<\/td>97 miljoner<\/td><\/tr>
27 mars<\/td>Telnyx<\/td>PyPI<\/td>Komprometterat distributionspaket<\/td>Kommunikations-SDK<\/td><\/tr>
31 mars<\/td>Axios<\/td>npm<\/td>Kapning av underh\u00e5llarkonto<\/td>400 miljoner (100M\/vecka)<\/td><\/tr>
22 april<\/td>Bitwarden CLI<\/td>npm<\/td>Komprometterat npm-konto, delad C2-dom\u00e4n med Checkmarx<\/td>Begr\u00e4nsat 93-minutersf\u00f6nster<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Startpunkten: Aqua Securitys Trivy komprometteras 19 mars<\/h2>\n\n\n\n

Klockan 17:43 UTC den 19 mars 2026 utnyttjade TeamPCP ett icke-roterarat Personal Access Token fr\u00e5n Aqua Securitys GitHub-organisation. Det var ett PAT som inte hade bytts ut korrekt efter en tidig incidentrespons, och vars exponering m\u00f6jliggjorts av den pull_request_target<\/code>-konfiguration som Boost Security flaggat fyra m\u00e5nader tidigare.<\/p>\n\n\n\n

Angriparna injicerade credential-st\u00e4lande skadlig kod i de officiella utg\u00e5vorna av Trivy: versionerna v0.69.4, v0.69.5 och v0.69.6. Samma kod placerades i trivy-action<\/code> och setup-trivy<\/code>-repositories p\u00e5 GitHub Actions. Den skadliga koden riktade sig mot GitHub-credentials, CI-token och milj\u00f6hemligheter i alla CI\/CD-pipelines som anv\u00e4nde de drabbade versionerna utan att pinna p\u00e5 specifika commit-SHA:er.<\/p>\n\n\n\n

GitHub Security Advisory GHSA-69fq-xp46-6×23<\/a> publicerades f\u00f6r Trivy-incidenten. Aqua Security inledde credential-rotation och kommunicerade att Trivy v0.69.3 var senaste s\u00e4kra version. Teams som anv\u00e4nde trivy-action<\/code> refererat via tag, i st\u00e4llet f\u00f6r SHA-pin, beh\u00f6vde r\u00e4kna med potentiell exponering under angreppsperioden den 19 till 20 mars 2026.<\/p>\n\n\n\n

Kedjereaktionen: Checkmarx AST och KICS drabbas den 23 mars<\/h2>\n\n\n\n

TeamPCP n\u00f6jde sig inte med Trivy. Med inloggningsuppgifter stulna fr\u00e5n komprometterade Trivy-pipelines r\u00f6rde sig kampanjen vidare mot Checkmarx, en av v\u00e4rldens ledande leverant\u00f6rer av apps\u00e4kerhetsverktyg. Attacken mot Checkmarx AST-actions intr\u00e4ffade den 21 mars 2026 och eskalerade den 23 mars n\u00e4r samtliga 35 taggar av checkmarx\/kics-github-action<\/code> kapades.<\/p>\n\n\n\n

Kapningen \u00e4gde rum mellan klockan 12:58 och 16:50 UTC den 23 mars med hj\u00e4lp av det komprometterade tj\u00e4nstekontot cx-plugins-releases<\/code> (GitHub ID 225848595). Ut\u00f6ver GitHub Actions distributerade TeamPCP skadliga VS Code-extensions, namngivna Checkmarx Developer Assist<\/em> och AST-Results<\/em> i versionerna 1.17.0 och 1.19.0, via OpenVSX-marknadsplatsen, samt en Jenkins-plugin och modifierade Docker-images.<\/p>\n\n\n\n

Checkmarx bekr\u00e4ftade i sin officiella incidentrapport<\/a> att dataexfiltrering \u00e4gde rum den 30 mars 2026, och att en kriminell grupp publicerade data fr\u00e5n Checkmarx GitHub-repositories p\u00e5 det m\u00f6rka webbet den 25 april 2026. Den sista belagda hotaktiviteten i Checkmarx-milj\u00f6n skedde den 22 april 2026, exakt 34 dagar efter det initiala Trivy-intr\u00e5nget.<\/p>\n\n\n\n

Det faktum att ett s\u00e4kerhetsf\u00f6retag vars k\u00e4rnaff\u00e4r \u00e4r att hj\u00e4lpa andra skydda sin kod f\u00f6ll offer f\u00f6r en leveranskedjeattack, skickade en tydlig signal till hela branschen: de verktyg som skyddar din kod kan sj\u00e4lva bli ett angreppsvapen.<\/p>\n\n\n\n

PyPI tr\u00e4ffas: LiteLLM och Telnyx komprometteras<\/h2>\n\n\n\n

Kampanjen spred sig till Python-ekosystemet den 24 mars 2026. LiteLLM, en AI-proxyserver f\u00f6r stora spr\u00e5kmodeller som laddas ned ungef\u00e4r 97 miljoner g\u00e5nger per m\u00e5nad via PyPI, komprometterades via inloggningsuppgifter stulna i Trivy-attacken. Angriparna injicerade en .pth<\/code>-fil f\u00f6r auto-exekvering vid Python-start samt modifierad kod i proxy_server.py<\/code> som fungerade som credential-harvester riktad mot API-nycklar och milj\u00f6variabler.<\/p>\n\n\n\n

Den 27 mars drabbades Telnyx, ett kommunikations-SDK med bred anv\u00e4ndning i SaaS-plattformar och telekommunikationsapplikationer. Attacken mot Telnyx f\u00f6ljde samma grundl\u00e4ggande m\u00f6nster: ett komprometterat distributionspaket som smugglade in credential-st\u00e4lande kod utan att omedelbart v\u00e4cka larm i automatiserade s\u00e4kerhetssystem, eftersom paketet publicerades via ett legitimt konto.<\/p>\n\n\n\n

Exponeringen av LiteLLM \u00e4r s\u00e4rskilt anm\u00e4rkningsv\u00e4rd i ett nordiskt perspektiv: LiteLLM anv\u00e4nds flitigt av organisationer som bygger egna AI-l\u00f6sningar ovanp\u00e5 OpenAI, Anthropic och open source-modeller. Nordiska tech-bolag och startups som integrerat LiteLLM under mars 2026 b\u00f6r ha granskat sina API-nycklar och tokenrotationer omedelbart efter incidenten.<\/p>\n\n\n\n

Axios: Det mest nedladdade npm-paketet med 100 miljoner nedladdningar per vecka<\/h2>\n\n\n\n

Kampanjens mest alarmerande enskilda kompromiss intr\u00e4ffade den 31 mars 2026, n\u00e4r Axios, npm-registrets \u00f6verl\u00e4gset mest nedladdade HTTP-klientbibliotek med runt 100 miljoner nedladdningar per vecka, drabbades av en supply chain-attack. En hotakt\u00f6r kapade ett underh\u00e5llarkonto och publicerade en trojaniserad version av paketet, inneh\u00e5llande en postinstall<\/code>-RAT-dropper, till npm-registret.<\/p>\n\n\n\n

Axios-attacken skiljer sig fr\u00e5n resten av kampanjen i ett avg\u00f6rande avseende: den har inte tillskrivits TeamPCP. Analyser fr\u00e5n s\u00e4kerhetsforskare pekar mot en hotakt\u00f6r med espionage-liknande operationell sofistikation och APT-karakt\u00e4r, med ett tydligt annorlunda tekniskt fingeravtryck j\u00e4mf\u00f6rt med TeamPCP-kampanjens credential-harvesting-fokus. Huruvida det r\u00f6r sig om en koordinerad insats eller ett opportunistiskt angrepp under p\u00e5g\u00e5ende leveranskedjekris \u00e4r \u00e4nnu inte klarlagt.<\/p>\n\n\n\n

F\u00f6r nordiska organisationer \u00e5terfinns Axios i praktiskt taget varje JavaScript- och Node.js-baserat projekt. Axios-kompromissen innebar ett akut behov av att granska dependencies och rotera tokens i alla milj\u00f6er som laddade ned paketet under det kritiska tidsf\u00f6nstret den 31 mars.<\/p>\n\n\n\n

Bitwarden CLI: CVE-2026-42994 drabbar l\u00f6senordshanterarens kommandorad<\/h2>\n\n\n\n

Den 22 april 2026 mellan klockan 17:57 och 19:30 ET, ett tidsintervall p\u00e5 93 minuter, publicerades paketet @bitwarden\/cli@2026.4.0<\/code> med skadlig kod till npm-registret. Bitwarden, vars l\u00f6senordshanterare anv\u00e4nds av miljontals individer och organisationer, fick sin CLI-distributionskanal komprometterad i vad som uppgavs vara kopplat till den bredare Checkmarx supply chain-incidenten.<\/p>\n\n\n\n

Sophos X-Ops identifierade att attacken mot Bitwarden CLI och en separat attack mot Checkmarx Docker-images intr\u00e4ffade med timmar emellan och delade samma kommando- och kontrolldom\u00e4n (C2). Fyndet pekade mot en m\u00f6jlig gemensam hotakt\u00f6r, skild fr\u00e5n TeamPCP men med koppling till Checkmarx-kampanjen.<\/p>\n\n\n\n

“Attackerna mot Checkmarx och Bitwarden intr\u00e4ffade inom timmar, delar samma C2-dom\u00e4n och pekar potentiellt mot en enda hotakt\u00f6r som k\u00f6r en koordinerad kampanj, skild fr\u00e5n TeamPCP”, skriver Sophos X-Ops<\/strong> i sin tekniska analys<\/a> av incidenten.<\/p>\n\n\n\n

CVE-2026-42994 utf\u00e4rdades f\u00f6r Bitwarden CLI version 2026.4.0. Bitwarden betonade i sin officiella kommunikation att inga vault-data komprometterades<\/a> och att vanliga Bitwarden-anv\u00e4ndare, inklusive de som anv\u00e4nder webbl\u00e4sarextension, mobilapp och desktopklient, inte p\u00e5verkades. Enbart de som laddade ned CLI-verktyget under det 93 minuter l\u00e5nga f\u00f6nstret var exponerade f\u00f6r risken.<\/p>\n\n\n\n

Teknisk anatomin: Credential-kaskaden steg f\u00f6r steg<\/h2>\n\n\n\n

Attackens tekniska mekanik f\u00f6ljde ett konsekvent m\u00f6nster som av experter p\u00e5 Phoenix Security<\/a> beskrivs som “den mest konsekventa CI\/CD supply chain-attack som dokumenterats hittills”, startande fr\u00e5n ett enda icke-roterarat Personal Access Token och kaskaderande tv\u00e4rs \u00f6ver fyra GitHub Actions-repositories, tv\u00e5 OpenVSX-extensions, containerregistren Docker Hub, GHCR och ECR, samt \u00f6ver 66 npm-paket.<\/p>\n\n\n\n

Angreppsvektorn utnyttjar ett v\u00e4lk\u00e4nt men alltf\u00f6r s\u00e4llan \u00e5tg\u00e4rdat problem: GitHub Actions-workfl\u00f6den med pull_request_target<\/code>-triggers exponerar, om de \u00e4r felkonfigurerade, write-beh\u00f6righeter f\u00f6r pull requests fr\u00e5n forkade repositories. TeamPCP anv\u00e4nde detta f\u00f6r att stj\u00e4la ett PAT med tillr\u00e4ckliga beh\u00f6righeter f\u00f6r att publicera officiella releases, och etablerade d\u00e4rmed ett fotf\u00e4ste med legitimitetens fulla tyngd bakom sig.<\/p>\n\n\n\n

Den injicerade skadliga koden riktade sig genomg\u00e5ende mot dessa kategorier av k\u00e4nslig data:<\/p>\n\n\n\n