Нова вълна от атаки срещу веригата за доставки на софтуер постави разработчиците и екипите за сигурност в състояние на повишена тревога.
Заплахителната група зад нея, известна като TeamPCP, тихомълком вмъква зловреден код в доверени инструменти за разработка и сигурност, използвани от компании по целия свят.
Веднъж влезли, групата събира облачни идентификационни данни, SSH ключове и други чувствителни тайни, които могат да отключат цели корпоративни мрежи.
Това, което прави тази кампания особено опасна, е нейният мащаб и изборът на цели. Вместо да се насочва към случайни жертви, TeamPCP се фокусира върху инструменти, на които разработчиците вече се доверяват и използват всеки ден в своите тръбопроводи за разработка (build pipelines). Точно това доверие е експлоатирано от атакуващите за разпространение на зловреден софтуер далеч отвъд една компания.
ФБР заяви в доклад, споделен с Cyber Security News (CSN), че TeamPCP е извършила мащабни компрометирания на софтуерната верига за доставки, насочвайки се към широко използвани инструменти за разработчици и сигурност. Бюрото предупреди, че групата е получила достъп до средите на жертвите и е извлякла чувствителни данни, включително токени за достъп до облака, SSH ключове и Kubernetes тайни.
Освен кражбата на данни, TeamPCP се насочи и към изнудване. Групата публикува имена на жертви на публичен сайт за изтичане на информация и заплаши да пусне откраднатата информация, освен ако исканията им не бъдат изпълнени. Тази промяна от тиха шпионаж към публичен натиск добавя още едно ниво на риск. Екипите по сигурността се призовават да третират всяко излагане от тази кампания като постоянна заплаха, а не като еднократно събитие. Дори след почистване, откраднатите идентификационни данни могат да се появят отново месеци по-късно в ръцете на други престъпни групи, които искат да се възползват от достъпа, получен от TeamPCP.
Методът на TeamPCP се фокусира върху инжектиране на зловреден код директно в легитимни софтуерни пакети. Чрез модифициране на компоненти и зависимости в популярни инструменти като Trivy, KICS, LiteLLM и Telnyx Python SDK, групата пусна троянизирани актуализации, които изглеждаха нормално на разработчиците, които ги изтегляха. Тези инструменти са дълбоко вградени в корпоративните конвейери за непрекъсната интеграция и непрекъснато доставяне (CI/CD), което ги прави идеална точка за влизане. Един компрометиран ъпдейт може тихо да премине в хиляди системи надолу по веригата, преди някой да забележи нещо нередно.
След като бъдат инсталирани, компрометираните пакети тайно внедряват зловреден софтуер за кражба на идентификационни данни и задни врати (backdoors), осигурявайки на TeamPCP трайни позиции в средите на разработчиците. Оттам нападателите могат да се насочат по-дълбоко в облачната инфраструктура и да откраднат по-чувствителни данни с течение на времето.
TeamPCP разчита на няколко собствени инструмента за извършване на своите атаки. CanisterWorm е създаден да събира облачни токени за достъп и API ключове, свързани с услуги като AWS, Google Cloud и Microsoft Azure, осигурявайки на нападателите директна линия към облачните акаунти. SANDCLOCK работи заедно с него, извличайки AWS идентификационни данни, Kubernetes ServiceAccount токени, локални променливи на средата и дори данни за портфейли за криптовалута от заразени системи. Заедно тези инструменти дават на TeamPCP широка мрежа за събиране на тайни. Групата също така използва Mini Shai-Hulud, самовъзпроизвеждащ се червей, който се разпространява самостоятелно в средите с отворен код на npm и PyPI. Близък вариант, наречен Miasma, следва същия подход, като същевременно компрометира конфигурационните файлове и събира идентификационни данни по време на разпространението си.
ФБР моли всяка организация, която подозира, че е била засегната от TeamPCP, да докладва за инцидента. Разследващите изискват подробности като имена на засегнатите пакети, регистрационни файлове (logs) от CI/CD среди, мрежови логове и всякакви получени съобщения за изнудване.
От страна на защитата, бюрото препоръчва обвързването на работните потоци на GitHub Actions към проверени commit хешове вместо към общи тагове, както и ротация на всички CI/CD тайни и облачни идентификационни данни, които може да са били изложени. Екипите също трябва да проверят своите GitHub организации за хранилища с имена tpcp-docs или docs-tpcp, тъй като те се създават от червея с помощта на откраднати идентификационни данни. Други предложени стъпки включват прилагане на принципа на най-малките привилегии за служебните акаунти в CI/CD, изискване на устойчива на фишинг многофакторна автентификация (MFA) за достъп до хранилища и задаване на праг за минимална възраст преди инсталиране на нови пакети. Поддържането на офлайн, непроменяеми резервни копия на критични хранилища също е част от препоръките на ФБР.