Un ataque a la cadena de suministro de software, donde los hackers corrompen software legítimo para inyectar código malicioso, solía ser un evento relativamente raro. Ahora, **TeamPCP** ha convertido esta amenaza en una ocurrencia casi semanal, corrompiendo cientos de herramientas de código abierto y sembrando desconfianza en el ecosistema de desarrollo de software. ### Brecha de GitHub: La Última Víctima El martes, **GitHub** anunció una brecha derivada de un ataque a la cadena de suministro de software. Un desarrollador de **GitHub** instaló una extensión comprometida para **VSCode**, un editor de código propiedad de **Microsoft**. **TeamPCP** afirma haber accedido a aproximadamente 4.000 repositorios de código de **GitHub**. **GitHub** confirmó el compromiso de al menos 3.800 repositorios que contenían su propio código, no código de clientes. "Estamos aquí hoy para anunciar la venta del código fuente y las organizaciones internas de GitHub", publicó **TeamPCP** en BreachForums, ofreciendo muestras para verificar la autenticidad. ### Una Campaña Prolífica La brecha de **GitHub** es solo la última de una serie de ataques a la cadena de suministro de software. Según **Socket**, **TeamPCP** ha llevado a cabo 20 "olas" de ataques en los últimos meses, ocultando malware en más de 500 paquetes de software distintos. Estas herramientas comprometidas han permitido a **TeamPCP** irrumpir en numerosas empresas. **Ben Read** de **Wiz** señala que, si bien la brecha de **GitHub** puede ser la más grande, cada incidente tiene un impacto significativo en la organización afectada. ### Modus Operandi: Un Ataque Cíclico La táctica principal de **TeamPCP** implica explotar a los desarrolladores de software. Obtienen acceso a redes donde se desarrollan herramientas de código abierto, como la extensión de **VSCode** o el software de visualización de datos **AntV**. Luego, el malware se planta dentro de la herramienta, infectando las máquinas de otros desarrolladores. Esto permite a los hackers robar credenciales y publicar versiones maliciosas de herramientas de desarrollo de software, creando un ciclo de compromisos que se auto-perpetúa. ### Mini Shai-Hulud: Automatización a Través de Gusanos Recientemente, **TeamPCP** ha automatizado sus ataques utilizando un gusano de auto-propagación conocido como Mini Shai-Hulud. Este gusano crea repositorios de **GitHub** que contienen credenciales cifradas robadas a las víctimas, haciendo referencia a la novela de ciencia ficción *Dune*. Este gusano probablemente se inspira en el gusano de compromiso de la cadena de suministro Shai-Hulud que apareció en septiembre, aunque no hay una conexión confirmada entre **TeamPCP** y ese malware anterior. ### Tácticas de Llamada de Atención **Philipp Burckhardt** de **Socket** señala que **TeamPCP** busca atención, destacando su sitio en la dark web con imágenes al estilo de *Matrix* y el lema "TEAMPCP: Los Gatos Secuestrando Sus Cadenas de Suministro". Antes de centrarse en ataques a la cadena de suministro, **TeamPCP** explotó malas configuraciones en la nube y una vulnerabilidad en **Next.js** para desplegar una botnet para el robo de credenciales y la minería de criptomonedas. **Nathaniel Quist** de **Palo Alto Networks** enfatiza la rápida propagación de estos ataques, impulsada por la explotación de credenciales de larga duración y tokens de autenticación. ### Motivación Financiera y Matices Geopolíticos **TeamPCP** parece estar motivado financieramente, participando en ransomware y extorsión de datos. También han demostrado disposición a vender datos robados. En el caso de **GitHub**, declararon que no buscaban un rescate, sino que venderían los datos a un único comprador antes de destruirlos. El grupo también se ha aventurado en la geopolítica, desplegando el wiper CanisterWorm, que apuntó a la infraestructura en la nube **Kubernetes** iraní. Adicionalmente, una entidad que afirmaba ser **TeamPCP** filtró el código fuente del gusano original Shai Hulud. ### Ampliación del Alcance de los Objetivos El alcance de los objetivos de **TeamPCP** se expandió significativamente en marzo, incrustando un infostealer en el escáner de seguridad de código abierto **Trivy**. Luego utilizaron credenciales robadas para comprometer versiones de la herramienta **LiteLLM** AI API en **PyPI**. También han apuntado a **Checkmarx**, **pgserve**, **TanStack** y **Mistral AI**. ### Graves Consecuencias y Estrategias de Mitigación Los ataques han resultado en brechas en la **Comisión Europea**, **Mercor** y **OpenAI**, entre otros. **Quist** enfatiza la importancia de las prácticas de "higiene" de seguridad, como la gestión cuidadosa de los tokens de autenticación y la implementación de restricciones de acceso, para mitigar el riesgo. "Lo más oportunista que está haciendo que esta operación sea exitosa son las credenciales de larga duración en estos entornos", agregó Quist, destacando la necesidad de prácticas sólidas de gestión de credenciales.