O chamado ataque à cadeia de fornecimento de software, no qual hackers corrompem um software legítimo para ocultar o seu próprio código malicioso, já foi um evento relativamente raro, mas que assombrou o mundo da segurança cibernética com a sua ameaça insidiosa de transformar qualquer aplicação inocente num ponto de apoio perigoso na rede de uma vítima. Agora, um grupo de cibercriminosos transformou esse pesadelo ocasional num episódio quase semanal, corrompendo centenas de ferramentas de código aberto, extorquindo vítimas para obter lucro e semeando um novo nível de desconfiança em todo um ecossistema usado para criar o software mundial.
Na noite de terça-feira, a plataforma de código-fonte aberto GitHub anunciou que havia sido violada por hackers em um desses ataques à cadeia de suprimentos de software: um desenvolvedor do GitHub instalou uma extensão “envenenada” para o VSCode, um plug-in para um editor de código comumente usado que, como o próprio GitHub, é propriedade da Microsoft. Como resultado, os hackers por trás da violação, um grupo cada vez mais notório chamado TeamPCP, afirmam ter acessado cerca de 4.000 repositórios de código do GitHub. A declaração do GitHub confirmou que havia encontrado pelo menos 3.800 repositórios comprometidos, ao mesmo tempo em que observou que, com base nas descobertas até agora, todos eles continham código do próprio GitHub, não de clientes.
“Estamos aqui hoje para anunciar o código-fonte do GitHub e organizações internas para venda”, escreveu TeamPCP no BreachForums, um fórum e mercado para cibercriminosos. “Tudo para a plataforma principal está lá e estou muito feliz em enviar amostras aos compradores interessados para verificar a autenticidade absoluta.”
A violação do GitHub é apenas o incidente mais recente naquela que se tornou a mais longa onda de ataques à cadeia de suprimentos de software de todos os tempos, sem fim à vista. De acordo com a empresa de segurança cibernética Socket, que se concentra em cadeias de fornecimento de software, o TeamPCP realizou, apenas nos últimos meses, 20 “ondas” de ataques à cadeia de fornecimento que ocultaram malware em mais de 500 peças distintas de software, ou bem mais de mil contando todas as várias versões do código que o TeamPCP sequestrou.
Esses pedaços de código contaminados permitiram que os hackers do TeamPCP violassem centenas de empresas que instalaram o software, diz Ben Read, que lidera a inteligência estratégica de ameaças na empresa de segurança em nuvem Wiz. O GitHub é apenas a última na longa lista de vítimas do grupo, que também inclui a empresa de IA Anthropic e a empresa de contratação de dados Mercor. “Pode ser o maior deles”, diz Read sobre a violação do GitHub. “Mas cada uma delas é um grande problema para a empresa a que acontece. Não é qualitativamente diferente das 14 violações que aconteceram na semana passada.”
A principal tática do TeamPCP tornou-se uma espécie de exploração cíclica dos desenvolvedores de software: os hackers obtêm acesso a uma rede onde uma ferramenta de código aberto comumente usada por codificadores está sendo desenvolvida – por exemplo, a extensão VSCode que levou à violação do GitHub ou o software de visualização de dados AntV que o TeamPCP sequestrou no início desta semana. Os hackers plantam malware na ferramenta que acaba nas máquinas de outros desenvolvedores de software, incluindo alguns que estão escrevendo outras ferramentas destinadas a serem usadas por programadores.
O malware permite que os hackers do TeamPCP roubem credenciais que lhes permitem publicar versões maliciosas do aqueles ferramentas de desenvolvimento de software também. O ciclo se repete e a coleção de redes violadas do TeamPCP cresce. “É um volante de compromissos na cadeia de abastecimento”, diz Read. “É autoperpetuante e tem sido uma forma extremamente bem-sucedida de obter acesso a redes e roubar coisas.”
Mais recentemente, o grupo parece ter automatizado muitos de seus ataques à cadeia de suprimentos de software com um worm autopropagador que ficou conhecido como Mini Shai-Hulud. O nome vem dos repositórios GitHub que o worm cria e que incluem credenciais criptografadas roubadas das vítimas, cada uma das quais inclui a frase “Um Mini Shai-Hulud apareceu” junto com um punhado de outras referências ao romance de ficção científica. Duna. Essa mensagem, por sua vez, parece ser uma referência não apenas Dunado Sandworms, mas a um worm de comprometimento da cadeia de suprimentos semelhante, conhecido como Shai-Hulud, que apareceu em setembro, embora não haja evidências de que o TeamPCP esteja por trás do malware de auto-propagação anterior.
