← Zpět na komunitu
Další

TeamPCP otrávila open-source ekosystém v nebývalém měřítku

Bezpečnostní analytici odhalili rozsáhlou kampaň TeamPCP, která dlouhodobě podstrkuje malware do balíčků npm, PyPI a GitHub repozitářů. Tato sofistikovaná operace ohrožuje dodavatelské řetězce softwaru firem po celém světě.

TeamPCP otrávila open-source ekosystém v nebývalém měřítku

Digitální dodavatelské řetězce jsou pod neustálým tlakem, a to nejen ze strany známých hrozeb. Nedávné odhalení kampaně hackerů známých jako TeamPCP ukazuje, že útoky se stávají sofistikovanějšími a zasahují do samotných základů softwarového ekosystému. Skupina TeamPCP dlouhodobě a v nebývalém měřítku podstrkuje škodlivý kód do populárních open-source balíčků a repozitářů, což představuje významné riziko pro organizace všech velikostí, včetně těch s robustními bezpečnostními protokoly.

Analytici, na které odkazuje Ars Technica, dohledali aktivity této skupiny, která cílí na klíčové platformy jako npm, PyPI a přímo na GitHub repozitáře. Jejich metody jsou promyšlené – kombinují krádeže přihlašovacích údajů s využitím zdánlivě legitimních nástrojů. Příkladem je distribuce 633 falešných npm balíčků, které se objevily 19. května a byly podepsány platnými Sigstore certifikáty. To útočníkům umožňuje maskovat svůj malware jako důvěryhodný software, což značně komplikuje detekci běžnými bezpečnostními nástroji.

Sofistikované útoky a jejich dosah

Kromě vkládání škodlivého kódu do balíčků se TeamPCP zaměřuje i na vývojová prostředí. Jednou z klíčových technik bylo nasazení podvodných rozšíření pro Visual Studio Code. Tato rozšíření, jednou nainstalovaná, mohla útočníkům umožnit přístup k citlivým datům a interním systémům. Konkrétní incident, který zdůrazňuje závažnost situace, se týkal společnosti Microsoft. Přes nakažený plugin si útočníci dokázali stáhnout přibližně 3 800 interních repozitářů. Tato událost vedla k zahájení interního bezpečnostního přezkumu na GitHubu, což jen podtrhuje, že ani technologičtí giganti nejsou vůči těmto typům útoků imunní.

Použití platných Sigstore certifikátů je obzvláště znepokojivé. Sigstore je projekt, který si klade za cíl zvýšit transparentnost a důvěru v open-source software tím, že umožňuje vývojářům digitálně podepisovat svůj kód. Pokud útočníci dokážou zneužít tento mechanismus k podepisování falešných balíčků, narušuje to základní principy důvěry a výrazně ztěžuje ověřování integrity softwaru. Firmy, které spoléhají na automatizované systémy pro kontrolu integrity kódu, mohou být těmito útoky vážně ohroženy, neboť jejich systémy mohou považovat škodlivý kód za legitimní.

Co to znamená pro vaši firmu

Zdroj Ars Technica →