Un cosiddetto attacco alla catena di fornitura del software program, in cui gli hacker corrompono un software program legittimo per nascondere il proprio codice dannoso, una volta period un evento relativamente raro ma che perseguitava il mondo della sicurezza informatica con la sua insidiosa minaccia di trasformare qualsiasi applicazione innocente in un pericoloso punto d’appoggio nella rete della vittima. Ora un gruppo di criminali informatici ha trasformato quell’incubo occasionale in un episodio quasi settimanale, corrompendo centinaia di strumenti open supply, estorcendo vittime a scopo di lucro e seminando un nuovo livello di sfiducia in un intero ecosistema utilizzato per creare software program mondiale.
Martedì sera, la piattaforma di codice open supply GitHub ha annunciato di essere stata violata da hacker in uno di questi attacchi alla catena di fornitura del software program: uno sviluppatore GitHub aveva installato un’estensione “avvelenata” per VSCode, un plug-in per un editor di codice di uso comune che, come lo stesso GitHub, è di proprietà di Microsoft. Di conseguenza, gli hacker dietro la violazione, un gruppo sempre più noto chiamato TeamPCP, affermano di aver avuto accesso a circa 4.000 repository di codici di GitHub. La dichiarazione di GitHub conferma di aver trovato almeno 3.800 repository compromessi sottolineando che, in base ai risultati finora ottenuti, tutti contenevano il codice di GitHub, non quello dei clienti.
“Siamo qui oggi per pubblicizzare la vendita del codice sorgente e delle organizzazioni interne di GitHub”, ha scritto TeamPCP su BreachForums, un discussion board e mercato per criminali informatici. “C’è tutto per la piattaforma principale e sono molto felice di inviare campioni agli acquirenti interessati per verificare l’assoluta autenticità.”
La violazione di GitHub è solo l’ultimo incidente di quella che è diventata la serie di attacchi alla catena di fornitura di software program più lunga di sempre, senza wonderful in vista. Secondo la società di sicurezza informatica Socket, che si concentra sulle catene di fornitura di software program, TeamPCP, solo negli ultimi mesi, ha effettuato 20 “ondate” di attacchi alla catena di fornitura che hanno nascosto malware in più di 500 parti distinte di software program, o ben più di un migliaio contando tutte le varie versioni del codice che TeamPCP ha dirottato.
Quei pezzi di codice contaminati hanno consentito agli hacker di TeamPCP di violare centinaia di aziende che hanno installato il software program, afferma Ben Learn, che guida l’intelligence strategica sulle minacce presso la società di sicurezza cloud Wiz. GitHub è solo l’ultima della lunga lista di vittime del gruppo, che comprende anche la società di intelligenza artificiale Anthropic e la società di elaborazione dati Mercor. “Potrebbe essere il più grande”, cube Learn della violazione di GitHub. “Ma ognuna di queste violazioni rappresenta un grosso problema per l’azienda a cui si verifica. Non è qualitativamente diversa dalle 14 violazioni avvenute la scorsa settimana.”
La tattica principale di TeamPCP è diventata una sorta di sfruttamento ciclico degli sviluppatori di software program: gli hacker ottengono l’accesso a una rete in cui viene sviluppato uno strumento open supply comunemente utilizzato dai programmatori, advert esempio l’estensione VSCode che ha portato alla violazione di GitHub o il software program di visualizzazione dei dati AntV che TeamPCP ha dirottato all’inizio di questa settimana. Gli hacker inseriscono malware nello strumento che finisce sui pc di altri sviluppatori di software program, compresi alcuni che stanno scrivendo altri strumenti destinati advert essere utilizzati dai programmatori.
Il malware consente agli hacker di TeamPCP di rubare credenziali che consentono loro di pubblicare versioni dannose di quelli anche strumenti di sviluppo software program. Il ciclo si ripete e la raccolta di reti violate da TeamPCP aumenta. “È un volano di compromessi nella catena di fornitura”, afferma Learn. “Si autoperpetua ed è stato un modo di enorme successo per ottenere l’accesso alle reti e rubare cose.”
Più recentemente, il gruppo sembra aver automatizzato molti dei suoi attacchi alla catena di fornitura del software program con un worm auto-diffondente che è diventato noto come Mini Shai-Hulud. Il nome deriva dai repository GitHub creati dal worm che includono credenziali crittografate rubate alle vittime, ognuna delle quali embrace la frase “A Mini Shai-Hulud Has Appeared” insieme a una manciata di altri riferimenti al romanzo di fantascienza Duna. Quel messaggio a sua volta sembra essere un riferimento non solo a Dunama a un worm simile che compromette la catena di fornitura noto come Shai-Hulud apparso a settembre, anche se non ci sono show che dietro quel precedente malware autodiffondante ci fosse TeamPCP.
