- Um grupo criminoso chamado TeamPCP invadiu o GitHub após a instalação de uma extensão do VSCode, acessando cerca de 4.000 repositórios e encontrando pelo menos 3.800 comprometidos, todos com código do GitHub, não de clientes.
- O grupo afirmou, em BreachForums, que vende o código-fonte da plataforma e as estruturas internas da GitHub para compradores interessados.
- Nos últimos meses, TeamPCP realizou cerca de vinte ondas de ataques à cadeia de suprimentos de software, incluindo mais de quinhentos itens de software, atingindo centenas de organizações, entre elas Anthropic e Mercor.
- A tática central envolve acessar redes de desenvolvedores, inserir malware em ferramentas de código aberto e publicar versões maliciosas para obter credenciais e espalhar o ataque; recentemente, foi criado um verme auto-propagante batizado de Mini Shai-Hulud.
- Especialistas alertam para o caráter escalável da campanha e recomendam rotação de credenciais, verificação cuidadosa de atualizações e adoção de práticas de higiene de segurança para uso de software de código aberto.
A Microsoft-owned código aberto continua no radar de ataques cibernéticos. Nesta semana, o GitHub confirmou ter sido alvo de uma ataque de cadeia de suprimentos, tipo em que código legítimo é comprometido para ocultar malware. A brecha envolveu uma extensão de VSCode instalada por um desenvolvedor, o que levou à violação de milhares de repositórios. O grupo por trás do ataque se autodenomina TeamPCP.
Segundo a plataforma, pelo menos 3.800 repositórios foram identificados como comprometidos, todos contendo código interno do GitHub. Não ficou claro que impacto houve em códigos de terceiros, mas a análise aponta que o dano recaiu sobre projetos da própria empresa até o momento.
O TeamPCP afirma ter acessado cerca de 4.000 repositórios do GitHub. Em uma postagem publicada em um fórum de criminosos, o grupo fala em vender o código-fonte da plataforma, com amostras disponíveis para verificação. A mensagem, porém, não é uma confirmação de preço ou de venda formal.
Alvos e alcance
A série de incidentes do TeamPCP é classificada como a mais extensa de ataques na cadeia de suprimentos de software. Em meses recentes, o grupo teria lançado 20 “ondas” de ataques que introduziram malware em mais de 500 peças de software, com variações que elevam o total para mais de mil conforme diferentes versões.
Autoridades e especialistas destacam que a ofensiva facilitou a coleta de credenciais para publicar versões maliciosas de ferramentas de desenvolvimento. A estratégia envolve a plantação de malware em ferramentas usadas por programadores, que acabam distribuídas a outros ambientes de desenvolvimento.
Entre as vítimas já listadas estão empresas de tecnologia e serviços, incluindo Anthropic e Mercor, além de incidentes com clientes da OpenAI e da área pública europeia. Pesquisadores ressaltam que o uso de credenciais de longa duração é um dos fatores que ampliam o alcance dessas operações.
Medidas e recomendações
Analistas destacam a necessidade de higiene de segurança, como gestão de tokens de autenticação e restrição de acesso. Mudanças periódicas de credenciais e rotação de tokens em serviços como GitHub, GitLab e provedores de nuvem são apontadas como medidas fundamentais.
Especialistas alertam para a importância de verificações de updates antes da implantação em larga escala. Em incidentes recentes, atualizações automáticas contribuíram para a disseminação de código malicioso, reforçando a necessidade de períodos de verificação antes de adotar novas versões.
A pandemia de ataques à cadeia de suprimentos levanta perguntas sobre o uso seguro de software aberto. Recomendação comum é adotar uma verificação de atualizações, bem como um período de observação antes da implementação em ambientes corporativos.
Entre na conversa da comunidade