TeamPCP comprometió 500 aplicaciones y accedió al código interno de GitHub
La banda de cibercriminales realizó 20 oleadas de ataques a la cadena de suministro y comprometió al menos 3,800 repositorios de GitHub con código interno de la plataforma.
Un desarrollador instaló una extensión para Visual Studio Code. La extensión estaba envenenada. Eso fue suficiente para que TeamPCP, una banda de cibercriminales que opera en los márgenes de internet, comprometiera alrededor de 4,000 repositorios de GitHub, incluyendo código fuente interno de la plataforma.
GitHub confirmó que al menos 3,800 de esos repositorios contenían material propio de la compañía. El incidente es parte de algo más grande.
Según la firma de ciberseguridad Socket, TeamPCP lleva meses ejecutando lo que califican como la racha más larga de ataques a la cadena de suministro de software jamás registrada. En total, la banda realizó 20 oleadas de ataques, incrustando malware en más de 500 piezas de software distintas. El número de versiones comprometidas supera las 1,000.
El mecanismo es relativamente clásico: infección de paquetes legítimos, distribución pasiva, y esperar a que alguien los instale. En este caso, el eslabón débil fue una extensión para el editor de código de Microsoft. El desarrollador no tenía por qué sospechar. El daño estaba hecho antes de que alguien se diera cuenta.
Las consecuencias se extendieron más allá de GitHub. Cientos de organizaciones que instalaron el software contaminado fueron hackeadas. La cadena de suministro de software funciona exactamente así: un componente comprometido en el lugar correcto puede llegar muy lejos, silencioso, sin dejar rastros obvios.
TeamPCP opera en BreachForums, un foro y marketplace para cibercriminales donde los robos se anuncian con la naturalidad de un clasificado. Ahí publicaron lo que tienen: "Estamos aquí para anunciar que el código fuente de GitHub y sus organizaciones internas están a la venta. Todo lo de la plataforma principal está disponible y estoy muy feliz de enviar muestras a compradores interesados para verificar la autenticidad absoluta."
Venden código de una de las plataformas de desarrollo más usadas del mundo con la misma energía con que se vende un televisor de segunda mano.
Socket caracterizó esta operación como la más sostenida de su tipo. Veinte oleadas. Quinientas aplicaciones distintas. Mil versiones comprometidas. No es un incidente aislado que salió mal; es una operación con metodología, con ritmo, con capacidad de adaptación.
El problema central de los supply chain attacks es que la defensa requiere desconfiar de todo lo que se instala, algo que va en contra de cómo trabajan los desarrolladores. La eficiencia del ecosistema de paquetes open source depende de que la gente confíe en los repositorios, en las extensiones, en los mantenedores de proyectos. Los atacantes lo saben.
GitHub confirmó el número de repositorios afectados pero no detalló el alcance exacto de qué código fue expuesto ni cuánto tiempo estuvo disponible para los atacantes. O al menos esa es la información pública disponible hasta ahora.
La pregunta que queda abierta es cuántas organizaciones todavía no saben que instalaron algo de ese catálogo de 500 aplicaciones comprometidas. La detección en este tipo de ataques no es inmediata, y el malware puede llevar semanas activo antes de ser identificado.
Según el reporte de Socket, la operación de TeamPCP continúa. No hay indicios de que la banda haya detenido su actividad.