Οι λεγόμενες επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού, στις οποίες οι χάκερ ανατρέπουν το νόμιμο λογισμικό για να κρύψουν τον κακόβουλο κώδικά τους, ήταν κάποτε σχετικά σπάνια περιστατικά, αλλά έχουν μαστίσει τον κόσμο της κυβερνοασφάλειας με την ύπουλη απειλή να μετατρέψουν μια αθώα εφαρμογή σε επικίνδυνο ορόσημο στο δίκτυο ενός θύματος. Τώρα, μια ομάδα εγκληματιών του κυβερνοχώρου έχει μετατρέψει έναν περιστασιακό εφιάλτη σε σχεδόν εβδομαδιαίο φαινόμενο, καταστρέφοντας εκατοντάδες εργαλεία ανοιχτού κώδικα, εκβιάζοντας κέρδη από τα θύματά τους και ενσταλάσσοντας νέα επίπεδα δυσπιστίας στα οικοσυστήματα που χρησιμοποιούνται για τη δημιουργία του παγκόσμιου λογισμικού.
Το βράδυ της Τρίτης, η πλατφόρμα ανοιχτού κώδικα GitHub ανακοίνωσε ότι είχε παραβιαστεί από χάκερ σε μια τέτοια επίθεση στην αλυσίδα εφοδιασμού λογισμικού. Οι προγραμματιστές του GitHub είχαν εγκαταστήσει μια “δηλητηριασμένη” επέκταση για το VSCode, ένα πρόσθετο για έναν συνήθως χρησιμοποιούμενο επεξεργαστή κώδικα που, όπως και το ίδιο το GitHub, ανήκει στη Microsoft. Ως αποτέλεσμα, οι χάκερ πίσω από την παραβίαση, μια όλο και πιο διαβόητη ομάδα που ονομάζεται TeamPCP, ισχυρίζονται ότι έχουν πρόσβαση σε περίπου 4.000 αποθετήρια κώδικα στο GitHub. Η δήλωση του GitHub επιβεβαίωσε ότι είχε ανακαλύψει τουλάχιστον 3.800 παραβιασμένους χώρους αποθήκευσης και σημείωσε ότι με βάση τα μέχρι στιγμής ευρήματά του, όλα περιείχαν τον κωδικό του ίδιου του GitHub και όχι τον κωδικό πελάτη.
«Είμαστε εδώ σήμερα για να προωθήσουμε την πώληση του πηγαίου κώδικα και της εσωτερικής οργάνωσης του GitHub», έγραψε το TeamPCP στο BreachForums, ένα φόρουμ και μια αγορά για εγκληματίες στον κυβερνοχώρο. «Έχουμε όλα όσα χρειαζόμαστε για την κύρια πλατφόρμα και θα χαρούμε να στείλουμε δείγματα σε ενδιαφερόμενους αγοραστές για να επιβεβαιώσουμε την απόλυτη αξιοπιστία».
Η παραβίαση του GitHub είναι η μεγαλύτερη επίθεση στην αλυσίδα εφοδιασμού λογισμικού στην ιστορία και είναι απλώς το τελευταίο περιστατικό σε ένα ατελείωτο έπος. Σύμφωνα με την Socket, μια εταιρεία κυβερνοασφάλειας που επικεντρώνεται στις αλυσίδες εφοδιασμού λογισμικού, η TeamPCP έχει πραγματοποιήσει 20 «κύματα» επιθέσεων εφοδιαστικής αλυσίδας τους τελευταίους μήνες, κρύβοντας κακόβουλο λογισμικό σε περισσότερα από 500 ξεχωριστά κομμάτια λογισμικού, πολύ πάνω από 1.000, αν μετρηθούν όλες οι διαφορετικές εκδόσεις του κώδικα που έχει παραβιάσει το TeamPCP.
Αυτοί οι μολυσμένοι κώδικες επέτρεψαν στους χάκερ της TeamPCP να εισβάλουν σε εκατοντάδες εταιρείες που είχαν εγκαταστήσει το λογισμικό, δήλωσε ο Ben Read, επικεφαλής της υπηρεσίας πληροφοριών στρατηγικών απειλών στην εταιρεία ασφάλειας cloud Wiz. Το GitHub είναι μόνο το πιο πρόσφατο σε μια μακρά λίστα με τα θύματα της ομάδας, η οποία περιλαμβάνει επίσης την εταιρεία τεχνητής νοημοσύνης OpenAI και την εταιρεία συμβάσεων δεδομένων Mercor. «Αυτό μπορεί να είναι το μεγαλύτερο για αυτούς», λέει ο Reed για την παραβίαση του GitHub. “Όμως καθένα από αυτά είναι ένα σημαντικό πρόβλημα για την εταιρεία όπου συνέβη. Δεν διαφέρει ποιοτικά από τις 14 παραβιάσεις που σημειώθηκαν την περασμένη εβδομάδα.”
Η βασική τακτική του TeamPCP είναι μια μορφή κυκλικής εκμετάλλευσης των προγραμματιστών λογισμικού. Οι χάκερ έχουν πρόσβαση σε δίκτυα όπου αναπτύσσονται εργαλεία ανοιχτού κώδικα που χρησιμοποιούνται συνήθως από προγραμματιστές. Παραδείγματα περιλαμβάνουν την επέκταση VSCode που προκάλεσε την παραβίαση του GitHub και το AntV, το λογισμικό οπτικοποίησης δεδομένων που το TeamPCP κατέλαβε νωρίτερα αυτή την εβδομάδα. Οι χάκερ ενσωματώνουν κακόβουλο λογισμικό σε εργαλεία που καταλήγουν να διεισδύουν σε μηχανήματα άλλων προγραμματιστών λογισμικού. Αυτό περιλαμβάνει άτομα που δημιουργούν άλλα εργαλεία που προορίζονται για χρήση από προγραμματιστές.
Αυτό το κακόβουλο λογισμικό επιτρέπει στους χάκερ του TeamPCP να κλέψουν διαπιστευτήρια και να εγκαταστήσουν μια κακόβουλη έκδοση του εκείνοι Επίσης εργαλεία ανάπτυξης λογισμικού. Αυτός ο κύκλος επαναλαμβάνεται, αυξάνοντας τη συλλογή παραβιασμένων δικτύων του TeamPCP. “Αυτός είναι ένας σφόνδυλος για συμβιβασμό στην αλυσίδα εφοδιασμού”, είπε ο Reed. «Είναι επίμονος και ένας πολύ επιτυχημένος τρόπος πρόσβασης σε δίκτυα και κλοπής πραγμάτων».
Πιο πρόσφατα, η ομάδα φαίνεται να έχει αυτοματοποιήσει πολλές από τις επιθέσεις της στην αλυσίδα εφοδιασμού λογισμικού χρησιμοποιώντας ένα σκουλήκι που διαχέεται μόνος του που έχει γίνει γνωστό ως Mini Shai-Hulud. Το όνομα προέρχεται από τα αποθετήρια GitHub που δημιουργεί το σκουλήκι, τα οποία περιέχουν κρυπτογραφημένα διαπιστευτήρια που έχουν κλαπεί από θύματα και κάθε αποθετήριο περιέχει τη φράση “Το Mini Shy Hald εμφανίζεται”, μαζί με πολλές άλλες αναφορές σε μυθιστορήματα επιστημονικής φαντασίας. αμμόλοφους. Αυτό το μήνυμα φαίνεται να αναφέρεται απλώς στα εξής: αμμόλοφουςsandworm, αλλά σε αντίθεση με ένα παρόμοιο σκουλήκι συμβιβασμού της αλυσίδας εφοδιασμού γνωστό ως Shai-Hulud που εμφανίστηκε τον Σεπτέμβριο, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι το TeamPCP βρισκόταν πίσω από το προηγούμενο κακόβουλο λογισμικό που διαδίδονταν μόνο του.
