Um ataque à cadeia de suprimentos de software, onde hackers corrompem software legítimo para injetar código malicioso, já foi um evento relativamente raro. Agora, o **TeamPCP** transformou essa ameaça em uma ocorrência quase semanal, corrompendo centenas de ferramentas open-source e semeando desconfiança no ecossistema de desenvolvimento de software. ### Violação no GitHub: A Vítima Mais Recente Na terça-feira, o **GitHub** anunciou uma violação decorrente de um ataque à cadeia de suprimentos de software. Um desenvolvedor do **GitHub** instalou uma extensão comprometida para o **VSCode**, um editor de código de propriedade da **Microsoft**. O **TeamPCP** afirma ter acessado aproximadamente 4.000 repositórios de código do **GitHub**. O **GitHub** confirmou o comprometimento de pelo menos 3.800 repositórios contendo seu próprio código, não código de clientes. "Estamos aqui hoje para anunciar a venda do código-fonte e das organizações internas do GitHub", postou o **TeamPCP** no BreachForums, oferecendo amostras para verificar a autenticidade. ### Uma Campanha Prolífica A violação no **GitHub** é apenas a mais recente em uma série de ataques à cadeia de suprimentos de software. De acordo com a **Socket**, o **TeamPCP** realizou 20 "ondas" de ataques nos últimos meses, escondendo malware em mais de 500 pacotes de software distintos. Essas ferramentas comprometidas permitiram que o **TeamPCP** violasse inúmeras empresas. **Ben Read**, da **Wiz**, observa que, embora a violação no **GitHub** possa ser a maior, cada incidente tem um impacto significativo na organização afetada. ### Modus Operandi: Um Ataque Cíclico A tática principal do **TeamPCP** envolve explorar desenvolvedores de software. Eles obtêm acesso a redes onde ferramentas open-source são desenvolvidas, como a extensão do **VSCode** ou o software de visualização de dados **AntV**. O malware é então plantado dentro da ferramenta, infectando as máquinas de outros desenvolvedores. Isso permite que os hackers roubem credenciais e publiquem versões maliciosas de ferramentas de desenvolvimento de software, criando um ciclo de comprometimentos autossustentável. ### Mini Shai-Hulud: Automação Através de Worms Recentemente, o **TeamPCP** automatizou seus ataques usando um worm de auto-propagação conhecido como Mini Shai-Hulud. Este worm cria repositórios no **GitHub** contendo credenciais criptografadas roubadas de vítimas, referenciando o romance de ficção científica *Duna*. Este worm é provavelmente inspirado pelo worm de comprometimento da cadeia de suprimentos Shai Hulud que apareceu em setembro, embora não haja conexão confirmada entre o **TeamPCP** e esse malware anterior. ### Táticas de Busca por Atenção **Philipp Burckhardt**, da **Socket**, observa que o **TeamPCP** busca atenção, destacando seu site na dark web com visuais no estilo *Matrix* e o slogan "TEAMPCP: Os Gatos Sequestrando Suas Cadeias de Suprimentos". Antes de focar em ataques à cadeia de suprimentos, o **TeamPCP** explorou má configurações na nuvem e uma vulnerabilidade no **Next.js** para implantar uma botnet para roubo de credenciais e mineração de criptomoedas. **Nathaniel Quist**, da **Palo Alto Networks**, enfatiza a rápida disseminação desses ataques, impulsionada pela exploração de credenciais de longa duração e tokens de autenticação. ### Motivação Financeira e Tons Geopolíticos O **TeamPCP** parece ser motivado financeiramente, engajando-se em ransomware e extorsão de dados. Eles também demonstraram disposição em vender dados roubados. No caso do **GitHub**, eles declararam que não estavam buscando resgate, mas venderiam os dados para um único comprador antes de destruí-los. O grupo também se aventurou na geopolítica, implantando o wiper CanisterWorm, que visou a infraestrutura de nuvem **Kubernetes** iraniana. Além disso, uma entidade que afirma ser o **TeamPCP** vazou o código-fonte do worm original Shai Hulud. ### Ampliação do Escopo de Alvos O escopo de alvos do **TeamPCP** se expandiu significativamente em março, incorporando um infostealer no scanner de segurança open-source **Trivy**. Em seguida, usaram credenciais roubadas para comprometer versões da ferramenta de API de IA **LiteLLM** no **PyPI**. Eles também visaram **Checkmarx**, **pgserve**, **TanStack** e **Mistral AI**. ### Consequências Severas e Estratégias de Mitigação Os ataques levaram a violações na **Comissão Europeia**, **Mercor** e **OpenAI**, entre outras. **Quist** enfatiza a importância de práticas de "higiene" de segurança, como gerenciar cuidadosamente tokens de autenticação e implementar restrições de acesso, para mitigar o risco. "A maior coisa oportunista que está tornando essa operação bem-sucedida são as credenciais de longa duração nesses ambientes", acrescentou Quist, destacando a necessidade de práticas robustas de gerenciamento de credenciais.