TeamPCP otrávila open-source ekosystém v nebývalém měřítku
Bezpečnostní analytici odhalili rozsáhlou kampaň TeamPCP, která dlouhodobě podstrkuje malware do balíčků npm, PyPI a GitHub repozitářů. Tato sofistikovaná operace ohrožuje dodavatelské řetězce softwaru firem po celém světě.
Digitální dodavatelské řetězce jsou pod neustálým tlakem, a to nejen ze strany známých hrozeb. Nedávné odhalení kampaně hackerů známých jako TeamPCP ukazuje, že útoky se stávají sofistikovanějšími a zasahují do samotných základů softwarového ekosystému. Skupina TeamPCP dlouhodobě a v nebývalém měřítku podstrkuje škodlivý kód do populárních open-source balíčků a repozitářů, což představuje významné riziko pro organizace všech velikostí, včetně těch s robustními bezpečnostními protokoly.
Analytici, na které odkazuje Ars Technica, dohledali aktivity této skupiny, která cílí na klíčové platformy jako npm, PyPI a přímo na GitHub repozitáře. Jejich metody jsou promyšlené – kombinují krádeže přihlašovacích údajů s využitím zdánlivě legitimních nástrojů. Příkladem je distribuce 633 falešných npm balíčků, které se objevily 19. května a byly podepsány platnými Sigstore certifikáty. To útočníkům umožňuje maskovat svůj malware jako důvěryhodný software, což značně komplikuje detekci běžnými bezpečnostními nástroji.
Sofistikované útoky a jejich dosah
Kromě vkládání škodlivého kódu do balíčků se TeamPCP zaměřuje i na vývojová prostředí. Jednou z klíčových technik bylo nasazení podvodných rozšíření pro Visual Studio Code. Tato rozšíření, jednou nainstalovaná, mohla útočníkům umožnit přístup k citlivým datům a interním systémům. Konkrétní incident, který zdůrazňuje závažnost situace, se týkal společnosti Microsoft. Přes nakažený plugin si útočníci dokázali stáhnout přibližně 3 800 interních repozitářů. Tato událost vedla k zahájení interního bezpečnostního přezkumu na GitHubu, což jen podtrhuje, že ani technologičtí giganti nejsou vůči těmto typům útoků imunní.
Použití platných Sigstore certifikátů je obzvláště znepokojivé. Sigstore je projekt, který si klade za cíl zvýšit transparentnost a důvěru v open-source software tím, že umožňuje vývojářům digitálně podepisovat svůj kód. Pokud útočníci dokážou zneužít tento mechanismus k podepisování falešných balíčků, narušuje to základní principy důvěry a výrazně ztěžuje ověřování integrity softwaru. Firmy, které spoléhají na automatizované systémy pro kontrolu integrity kódu, mohou být těmito útoky vážně ohroženy, neboť jejich systémy mohou považovat škodlivý kód za legitimní.
Co to znamená pro vaši firmu
- Audit závislostí a dodavatelského řetězce: Pravidelně a důkladně prověřujte všechny open-source závislosti používané ve vašich projektech. Nespokojte se pouze s automatizovanými nástroji, zvažte i manuální kontroly kritických komponent.
- Zabezpečení vývojového prostředí: Zaveďte přísnější pravidla pro instalaci rozšíření a pluginů ve vývojových prostředích (např. VS Code). Provádějte pravidelné kontroly integrity těchto nástrojů a omezte oprávnění, která mají vývojáři k instalaci neověřeného softwaru.
- Posílení autentizace a autorizace: Implementujte vícefaktorovou autentizaci (MFA) pro všechny účty s přístupem k repozitářům, balíčkovacím systémům a dalším kritickým vývojovým nástrojům. Zvažte princip nejmenších oprávnění pro přístup k interním systémům.
- Interní vzdělávání a povědomí: Pravidelně školte své vývojáře a bezpečnostní týmy o nejnovějších hrozbách a technikách sociálního inženýrství, které mohou vést ke krádeži přihlašovacích údajů. Podporujte kulturu obezřetnosti a nahlašování podezřelých aktivit.