- 27,661
- 46
- 8 Ноя 2022
Что стоит за атакой на цепочки зависимостей, которая могла задеть почти всю современную разработку.
Открытый код годами держался на доверии, но теперь злоумышленники показывают, как легко превратить привычную скорость разработки в оружие против самих разработчиков. Группа TeamPCP менее чем за четыре месяца взломала и наполнила вредоносным кодом более 1000 программных пакетов, ударив по одной из самых чувствительных точек современной цифровой экономики.
Атаки TeamPCP затронули открытые хранилища и инструменты разработки, включая npm, PyPI и GitHub. Злоумышленники внедряют вредоносные изменения в популярные пакеты, а затем ждут, пока другие команды автоматически загрузят заражённый код в свои проекты. Такой подход особенно опасен из-за цепочек зависимостей, где один пакет тянет за собой десятки и сотни других компонентов.
Главная проблема оказалась не в какой-то новой технике атаки, а в давно известной слабости. Многие компании привыкли быстро подключать сторонний код и обновления, не проверяя каждое звено цепочки. Автоматические системы, которые собирают и публикуют код и помогают быстрее выпускать программы, одновременно позволяют заражать больше систем. Дополнительный риск создают инструменты на базе искусственного интеллекта, которые могут устанавливать пакеты почти без участия человека.
По данным специалистов, TeamPCP часто действует шумно и почти не скрывается. Группа крадёт ключи доступа и учётные данные для Kubernetes, Amazon Web Services, Microsoft Azure, Google Cloud и других сервисов. Среди заявленных или затронутых целей упоминаются Checkmarx, Bitwarden, LiteLLM, Telnyx, PyTorch Lightning, SAP, GitHub, TanStack, UiPath, MistralAI, Red Hat и другие проекты.
Совокупно скомпрометированные или отравленные пакеты набирали около 500 млн загрузок в неделю. Такой показатель не означает, что все пользователи стали жертвами атаки, поскольку многие заражённые системы не были доступны из интернета. Но потенциальный охват оказался огромным, а репутационный ущерб для экосистемы открытого кода уже стал серьёзным.
Google связывает активность TeamPCP в основном с одним оператором и указывает, что часть подключений шла с домашних и мобильных адресов в ЮАР. Palo Alto Networks отслеживает предполагаемого организатора под псевдонимом ResoluteXBF, а также ещё двух участников, известных как diencracked и Shinigami. При этом TeamPCP периодически взаимодействовала с другими киберпреступниками и площадками, включая Lapsus$, ShinyHunters, DragonForce, BreachForums и HasanBroker.
Деньги, похоже, не стали главным мотивом. По оценкам специалистов, группа публично заявляла более чем о 10 000 жертвах и примерно $90 000 вымогательских платежей, но её поведение больше похоже на погоню за известностью в преступной среде. TeamPCP также выставляла на продажу около 4000 частных хранилищ кода за $95 000.
Отдельную тревогу вызывает скорость атак. Некоторые заражённые пакеты оставались доступными почти 13 часов, хотя сейчас защитные команды научились убирать часть вредоносных версий за 15 минут. TeamPCP всё равно продолжает заражать новые пакеты почти ежедневно, проверяет, что удалось взломать, и забирает чувствительные данные в течение суток.
Группа также стоит за самораспространяющимся вредоносным кодом Mini Shai-Hulud , который недавно заразил сотни пакетов в открытых хранилищах. Один из связанных с TeamPCP участников опубликовал исходный код вредоноса на GitHub и призвал других преступников использовать его в собственных атаках.
Открытый код годами держался на доверии, но теперь злоумышленники показывают, как легко превратить привычную скорость разработки в оружие против самих разработчиков. Группа TeamPCP менее чем за четыре месяца взломала и наполнила вредоносным кодом более 1000 программных пакетов, ударив по одной из самых чувствительных точек современной цифровой экономики.
Атаки TeamPCP затронули открытые хранилища и инструменты разработки, включая npm, PyPI и GitHub. Злоумышленники внедряют вредоносные изменения в популярные пакеты, а затем ждут, пока другие команды автоматически загрузят заражённый код в свои проекты. Такой подход особенно опасен из-за цепочек зависимостей, где один пакет тянет за собой десятки и сотни других компонентов.
Главная проблема оказалась не в какой-то новой технике атаки, а в давно известной слабости. Многие компании привыкли быстро подключать сторонний код и обновления, не проверяя каждое звено цепочки. Автоматические системы, которые собирают и публикуют код и помогают быстрее выпускать программы, одновременно позволяют заражать больше систем. Дополнительный риск создают инструменты на базе искусственного интеллекта, которые могут устанавливать пакеты почти без участия человека.
По данным специалистов, TeamPCP часто действует шумно и почти не скрывается. Группа крадёт ключи доступа и учётные данные для Kubernetes, Amazon Web Services, Microsoft Azure, Google Cloud и других сервисов. Среди заявленных или затронутых целей упоминаются Checkmarx, Bitwarden, LiteLLM, Telnyx, PyTorch Lightning, SAP, GitHub, TanStack, UiPath, MistralAI, Red Hat и другие проекты.
Совокупно скомпрометированные или отравленные пакеты набирали около 500 млн загрузок в неделю. Такой показатель не означает, что все пользователи стали жертвами атаки, поскольку многие заражённые системы не были доступны из интернета. Но потенциальный охват оказался огромным, а репутационный ущерб для экосистемы открытого кода уже стал серьёзным.
Google связывает активность TeamPCP в основном с одним оператором и указывает, что часть подключений шла с домашних и мобильных адресов в ЮАР. Palo Alto Networks отслеживает предполагаемого организатора под псевдонимом ResoluteXBF, а также ещё двух участников, известных как diencracked и Shinigami. При этом TeamPCP периодически взаимодействовала с другими киберпреступниками и площадками, включая Lapsus$, ShinyHunters, DragonForce, BreachForums и HasanBroker.
Деньги, похоже, не стали главным мотивом. По оценкам специалистов, группа публично заявляла более чем о 10 000 жертвах и примерно $90 000 вымогательских платежей, но её поведение больше похоже на погоню за известностью в преступной среде. TeamPCP также выставляла на продажу около 4000 частных хранилищ кода за $95 000.
Отдельную тревогу вызывает скорость атак. Некоторые заражённые пакеты оставались доступными почти 13 часов, хотя сейчас защитные команды научились убирать часть вредоносных версий за 15 минут. TeamPCP всё равно продолжает заражать новые пакеты почти ежедневно, проверяет, что удалось взломать, и забирает чувствительные данные в течение суток.
Группа также стоит за самораспространяющимся вредоносным кодом Mini Shai-Hulud , который недавно заразил сотни пакетов в открытых хранилищах. Один из связанных с TeamPCP участников опубликовал исходный код вредоноса на GitHub и призвал других преступников использовать его в собственных атаках.
- Источник новости
- www.securitylab.ru
