GitHub je postao posljednja žrtva grupe TeamPCP, koja je izvela niz napada na lance opskrbe softverom. Ovi napadi, u kojima hakeri korumpiraju legitimne softverske alate kako bi sakrili svoj zlonamjerni kod, postali su sve učestaliji i predstavljaju ozbiljnu prijetnju sigurnosti. U nedavnom napadu, GitHub je otkrio da je hakerima omogućeno pristupanje oko 4,000 repozitorija koda nakon što je jedan od njihovih programera instalirao “otrovnu” ekstenziju za VSCode, popularni alat za uređivanje koda koji je također u vlasništvu Microsofta.
Prema informacijama koje je objavio GitHub, otkriveno je najmanje 3,800 kompromitiranih repozitorija, od kojih su svi sadržavali GitHubov vlastiti kod, a ne kod korisnika. TeamPCP je na forumu BreachForums objavio da nudi GitHubov izvorni kod i interne organizacije na prodaju, tvrdeći da su spremni poslati uzorke zainteresiranim kupcima.
Ovaj incident je samo posljednji u nizu napada koji su postali najdugovječniji u povijesti napada na lance opskrbe softverom. Prema istraživanju tvrtke Socket, TeamPCP je samo u posljednjih nekoliko mjeseci izveo 20 valova napada, skrivajući zloćudni softver u više od 500 različitih softverskih alata.
Hakeri iz TeamPCP-a su uspjeli kompromitirati stotine tvrtki koje su instalirale njihovu zaraženu softversku opremu. GitHub je samo najnovija žrtva, a među prethodnim su se našli i OpenAI i Mercor. “Svaki od ovih napada predstavlja značajan problem za tvrtku koju zahvaća”, rekao je Ben Read iz tvrtke Wiz, koja se bavi sigurnošću u oblaku.
TeamPCP koristi taktiku ciklične eksploatacije softverskih programera, dobivajući pristup mrežama gdje se razvijaju open source alati. U osnovi, hakeri zaražavaju popularne alate, a zatim koriste zaražene verzije za krađu podataka. “To je samoodrživ ciklus kompromitacija lanca opskrbe”, ističe Read.
Grupa je nedavno automatizirala mnoge svoje napade pomoću samoproširujućeg crva poznatog kao Mini Shai-Hulud, koji stvara repozitorije na GitHubu s ukradenim podacima. Ova strategija pokazuje da se TeamPCP sve više usredotočuje na stjecanje velike izloženosti i pozornosti.
TeamPCP je prvotno započeo s napadima koristeći ranjivosti u cloud uslugama, ali se brzo preselio na model ransomware-a kao usluge, uspostavljajući partnerstva s drugim cyber kriminalnim platformama. Njihovi napadi rezultirali su ozbiljnim posljedicama, uključujući provale u javne web stranice Europske komisije i mnoge druge organizacije.
Stručnjaci savjetuju organizacijama da poduzmu mjere zaštite, poput rotacije autentifikacijskih tokena i pažljivog upravljanja pristupom. “Važno je mijenjati tokene čak i ako ne koristite zaražene alate”, dodaje Read.
U svjetlu epidemije napada na lance opskrbe, korisnici otvorenog koda moraju biti oprezni i provoditi mjere provjere povjerenja, analizirajući ažuriranja prije njihove primjene.
