El software se llama ataques a la cadena de suministrodonde los piratas informáticos manipulan software legítimo para ocultar su código malicioso, alguna vez fue un evento relativamente raro, pero acecha al mundo de la ciberseguridad con amenazas insidiosas que convierten aplicaciones inocentes en puntos de apoyo maliciosos en las redes de las víctimas. Ahora un grupo de ciberdelincuentes ha convertido una pesadilla ocasional en un episodio casi semanal, rompiendo cientos de herramientas de código abierto, extorsionando a las víctimas para obtener ganancias y sembrando un nuevo nivel de desconfianza en todo el ecosistema utilizado para crear el software del mundo.
El martes por la noche, la plataforma de código abierto GitHub anunció que había sido violada por piratas informáticos en uno de sus ataques a la cadena de suministro de software: los desarrolladores de GitHub habían instalado una extensión “veneno” para VSCode, un complemento para un editor de código de uso común que, como el propio GitHub, es propiedad de Microsoft. Como resultado, los piratas informáticos detrás de la infracción, un grupo cada vez más conocido llamado TeamPCP, afirmaron haber accedido a alrededor de 4.000 repositorios de códigos de GitHub. La declaración de GitHub confirmó que había descubierto al menos 3.800 repositorios comprometidos y señaló que, según sus hallazgos hasta el momento, todos contenían el propio código de GitHub, no el código del cliente.
“Estamos aquí hoy para anunciar la venta del código fuente de GitHub y la organización interna”, escribió TeamPCP en BreachForums, un foro y mercado para ciberdelincuentes. “Todo lo necesario para las principales plataformas está ahí y estaré encantado de enviar muestras a los compradores interesados para verificar la autenticidad absoluta”.
La violación de GitHub es solo el último incidente de la serie más larga de ataques a la cadena de suministro de software jamás vista y no tiene un final a la vista. Según la empresa de ciberseguridad Socket, que se centra en las cadenas de suministro de software, TeamPCP, en tan sólo los últimos meses, ha llevado a cabo 20 “olas” de ataques a la cadena de suministro que ocultan malware en más de 500 piezas diferentes de software, o más de mil, incluidas todas las versiones del código que TeamPCP ha secuestrado.
