Grupo TeamPCP envenena repositorios open source a escala sin precedentes

TeamPCP no explota vulnerabilidades técnicas, explota vulnerabilidades sociales y de proceso. Contribuyen código legítimo durante meses, ganan confianza, y luego inyectan payloads en commits aparentemente inocuos. Los maintainers, sobrecargados y generalmente no remunerados, no tienen recursos para auditar cada línea.

Lo que hace este caso distinto es la escala y la sofisticación. No son typosquatting attacks oportunistas, es ingeniería social industrializada. Los atacantes entienden los workflows de revisión, los ciclos de release, y las presiones de tiempo de los equipos.

La industria responde con herramientas de análisis estático y SBOMs, pero el problema de fondo es económico: el open source genera trillones en valor pero opera con gobernanza de hobby project. Hasta que eso no se resuelva estructuralmente — con funding real, auditorías profesionales, y maintainers pagados — estos ataques seguirán escalando.