Une attaque sur la chaîne d'approvisionnement logicielle, où des pirates corrompent des logiciels légitimes pour y injecter du code malveillant, était autrefois un événement relativement rare. Désormais, **TeamPCP** a transformé cette menace en un événement quasi hebdomadaire, corrompant des centaines d'outils open-source et semant la méfiance dans l'écosystème du développement logiciel. ### Brèche GitHub : La dernière victime Mardi, **GitHub** a annoncé une brèche résultant d'une attaque sur la chaîne d'approvisionnement logicielle. Un développeur **GitHub** a installé une extension compromise pour **VSCode**, un éditeur de code appartenant à **Microsoft**. **TeamPCP** affirme avoir accédé à environ 4 000 dépôts de code de **GitHub**. **GitHub** a confirmé le compromis d'au moins 3 800 dépôts contenant son propre code, et non le code client. « Nous sommes ici aujourd'hui pour vendre le code source et les organisations internes de GitHub », a posté **TeamPCP** sur BreachForums, offrant des échantillons pour vérifier l'authenticité. ### Une campagne prolifique La brèche **GitHub** n'est que la dernière d'une série d'attaques sur la chaîne d'approvisionnement logicielle. Selon **Socket**, **TeamPCP** a mené 20 « vagues » d'attaques ces derniers mois, dissimulant des **malware** dans plus de 500 paquets logiciels distincts. Ces outils compromis ont permis à **TeamPCP** de pénétrer de nombreuses entreprises. **Ben Read** de **Wiz** note que bien que la brèche **GitHub** soit peut-être la plus importante, chaque incident a un impact significatif sur l'organisation affectée. ### Modus Operandi : Une attaque cyclique La tactique principale de **TeamPCP** consiste à exploiter les développeurs de logiciels. Ils accèdent aux réseaux où les outils open-source sont développés, tels que l'extension **VSCode** ou le logiciel de visualisation de données **AntV**. Le **malware** est ensuite planté dans l'outil, infectant les machines d'autres développeurs. Cela permet aux pirates de voler des identifiants et de publier des versions malveillantes d'outils de développement logiciel, créant un cycle d'infections auto-entretenu. ### Mini Shai-Hulud : Automatisation par des vers Récemment, **TeamPCP** a automatisé ses attaques à l'aide d'un ver auto-répliquant connu sous le nom de Mini Shai-Hulud. Ce ver crée des dépôts **GitHub** contenant des identifiants chiffrés volés aux victimes, faisant référence au roman de science-fiction *Dune*. Ce ver est probablement inspiré par le ver de compromis de la chaîne d'approvisionnement Shai-Hulud apparu en septembre, bien qu'il n'y ait pas de lien confirmé entre **TeamPCP** et ce **malware** antérieur. ### Tactiques de recherche d'attention **Philipp Burckhardt** de **Socket** note que **TeamPCP** cherche à attirer l'attention, mettant en avant son site dark-web présentant des visuels de style *Matrix* et le slogan « TEAMPCP: The Cats Hijacking Your Supply Chains. » Avant de se concentrer sur les attaques de la chaîne d'approvisionnement, **TeamPCP** a exploité des erreurs de configuration cloud et une vulnérabilité dans **Next.js** pour déployer un **botnet** pour le vol d'identifiants et le minage de cryptomonnaies. **Nathaniel Quist** de **Palo Alto Networks** souligne la propagation rapide de ces attaques, alimentée par l'exploitation d'identifiants de longue durée et de jetons d'authentification. ### Motivation financière et connotations géopolitiques **TeamPCP** semble motivé financièrement, s'engageant dans le **ransomware** et l'extorsion de données. Ils ont également montré une volonté de vendre les données volées. Dans le cas de **GitHub**, ils ont déclaré ne pas chercher de rançon mais vendraient les données à un seul acheteur avant de les détruire. Le groupe s'est également aventuré dans la géopolitique, déployant le **wiper** CanisterWorm, qui a ciblé l'infrastructure cloud **Kubernetes** iranienne. De plus, une entité prétendant être **TeamPCP** a divulgué le code source du ver original Shai Hulud. ### Élargissement du champ de ciblage Le ciblage de **TeamPCP** s'est considérablement élargi en mars, intégrant un **infostealer** dans le scanner de sécurité open-source **Trivy**. Ils ont ensuite utilisé des identifiants volés pour compromettre des versions de l'outil **API** **LiteLLM** sur **PyPI**. Ils ont également ciblé **Checkmarx**, **pgserve**, **TanStack**, et **Mistral AI**. ### Conséquences graves et stratégies d'atténuation Les attaques ont entraîné des brèches à la **Commission européenne**, **Mercor**, et **OpenAI**, entre autres. **Quist** souligne l'importance des pratiques d'« hygiène » de sécurité, telles que la gestion rigoureuse des jetons d'authentification et la mise en œuvre de restrictions d'accès, pour atténuer le risque. « La chose la plus opportuniste qui rend cette opération réussie, ce sont les identifiants de longue durée dans ces environnements », a ajouté Quist, soulignant la nécessité de pratiques robustes de gestion des identifiants.