Los llamados ataques a la cadena de suministro de software, en los que los piratas informáticos manipulan software legítimo para ocultar su código malicioso, alguna vez fueron un evento relativamente raro, pero acechan al mundo de la ciberseguridad con amenazas peligrosas que convierten aplicaciones inocentes en puntos de apoyo maliciosos en las redes de las víctimas. Ahora, un grupo de ciberdelincuentes ha convertido esa pesadilla en un hecho casi semanal, rompiendo cientos de herramientas de código abierto, extorsionando a sus víctimas para obtener ganancias y sembrando un nuevo nivel de desconfianza en todo el ecosistema utilizado para crear el software del mundo.
El martes por la noche, la plataforma de código abierto GitHub anunció que había sido violada por piratas informáticos en uno de sus ataques a la cadena de suministro de software: los desarrolladores de GitHub habían instalado una extensión “veneno” para VSCode, un complemento para un editor de código de uso común que, como el propio GitHub, es propiedad de Microsoft. Como resultado, los piratas informáticos detrás de la infracción, un grupo cada vez más conocido llamado TeamPCP, afirmaron haber accedido a alrededor de 4.000 repositorios de códigos de GitHub. La declaración de GitHub confirmó que había descubierto al menos 3.800 repositorios comprometidos y señaló que, según sus hallazgos hasta el momento, todos contenían el propio código de GitHub, no el código del cliente.
“Estamos aquí hoy para anunciar la venta del código fuente de GitHub y la organización interna”, escribió TeamPCP en BreachForums, un foro y mercado para ciberdelincuentes. “Todo lo necesario para las principales plataformas está ahí y estaré encantado de enviar muestras a los compradores interesados para verificar la autenticidad absoluta”.
La violación de GitHub es solo el último incidente de la serie más larga de ataques a la cadena de suministro de software jamás vista y no tiene un final a la vista. Según la empresa de ciberseguridad Socket, que se centra en las cadenas de suministro de software, TeamPCP, en tan sólo los últimos meses, ha llevado a cabo 20 “olas” de ataques a la cadena de suministro que ocultan malware en más de 500 piezas diferentes de software, o más de mil, incluidas todas las versiones del código que TeamPCP ha secuestrado.
El código contaminado ha permitido a los piratas informáticos de TeamPCP penetrar en cientos de empresas que instalaron el software, dijo Ben Read, quien dirige la inteligencia estratégica sobre amenazas en la empresa de seguridad en la nube Wiz. GitHub es solo la última de una larga lista de víctimas sufridas por el grupo, incluida la empresa de inteligencia artificial OpenAI y la empresa de contratación de datos Mercor. “Este es probablemente el más grande”, dijo Read sobre la violación de GitHub. “Pero cada una de estas infracciones es un gran problema para la empresa. Cualitativamente, estas infracciones no son diferentes de las 14 infracciones que ocurrieron la semana pasada”.
La táctica central de TeamPCP ha sido una especie de explotación cíclica de los desarrolladores de software: los piratas informáticos obtienen acceso a redes donde se están desarrollando herramientas de código abierto comúnmente utilizadas por los codificadores; por ejemplo, la extensión VSCode que condujo a la violación de GitHub o el software de visualización de datos AntV que TeamPCP secuestró a principios de esta semana. Los piratas informáticos colocaron malware en la herramienta y terminó en las máquinas de otros desarrolladores de software, incluidos algunos que estaban escribiendo otras herramientas destinadas a codificadores.
Este malware permite a los piratas informáticos de TeamPCP robar credenciales, lo que les permite publicar versiones maliciosas. Eso herramientas de desarrollo de software también. Este ciclo se repite y el conjunto de redes comprometidas por TeamPCP crece. “Este es un compromiso en la cadena de suministro”, dijo Read. “Esto continúa y es una forma muy exitosa de acceder a las redes y robar cosas”.
Más recientemente, el grupo parece haber automatizado muchos de sus ataques a la cadena de suministro de software con un gusano autopropagante que pasó a ser conocido como Mini Shai-Hulud. El nombre proviene de un repositorio de GitHub creado por el gusano que incluye credenciales cifradas robadas de las víctimas, cada una de las cuales contiene la frase “Ha aparecido un Mini Shai-Hulud” junto con varias otras referencias a novelas de ciencia ficción. dunas de arena. El mensaje a su vez parece ser una referencia no sólo a eso dunas de arena‘s sandworm’ sino también un gusano similar que compromete la cadena de suministro conocido como Shai-Hulud que surgió en septiembre, aunque no hay evidencia de que TeamPCP estuviera detrás del malware autopropagante anterior.
