Grupo de hackers envenena software de código abierto a una escala masiva
Un ataque a la cadena de suministro de software consiste en contaminar una herramienta legítima para esconder código malicioso dentro de dicha herramienta. Durante años, este ha sido un golpe poco frecuente, pero muy temido por la ciberseguridad; bastaba con una aplicación aparentemente inofensiva para abrir una peligrosa puerta dentro de la red.
En estos tiempos, un grupo de hackers maliciosos ha convertido aquella pesadilla ocasional en una rutina casi semanal. Ha corrompido cientos de herramientas de código abierto, ha extorsionado a sus objetivos y ha sembrado una desconfianza inédita en el ecosistema con el que se desarrolla el software mundial.
Hace unos días, GitHub, la famosa plataforma de código abierto propiedad de Microsoft, ha confirmado que había sufrido una intrusión de este tipo. Un desarrollador de dicha herramienta ha instalado una extensión “envenenada” para VSCode, un complemento de uno de los editores de código más empleados, propiedad también de Microsoft.
Como consecuencia de esto, los cibercriminales detrás del incidente, un grupo conocido como TeamPCP, aseguran haber accedido a unos 4 mil repositorios de código de GitHub. La organización ha reconocido que había encontrado al menos 3.800 repositorios comprometidos, aunque destacó que, según los hallazgos preliminares, todos contenían código propio de GitHub y no era código de sus clientes.
“Estamos aquí para anunciar la venta del código fuente de GitHub y de sus organizaciones internas”, ha escrito el grupo TeamPCP en BreachForums, un foro y mercado usado por hackers maliciosos. Todo lo relacionado con la plataforma principal está ahí y van a enviar muestras a los compradores interesados para comprobar su autenticidad.
Esta brecha de GitHub es apenas el episodio más reciente de lo que ya parece la campaña más prolongada de ataques a la cadena de suministro de software, todo ello sin señales de agotarse o sin señales de que estos ataques vayan a disminuir.
TIC Defense es una empresa que se dedica a proteger a organizaciones de ataques perpetrados por ciberdelincuentes y todo tipo de actores de amenazas, todo ello con un conjunto de herramientas y servicios de última tecnología, enfocados en prevenir y en otorgar respuesta rápida todo tipo de incidentes.
Según diversas firmas de seguridad informática centrada en este tipo de ciberamenazas, el grupo TeamPCP ha ejecutado oleadas de ataques en los últimos meses, los cuales han ocultado malware en más de 500 partes de código y de software o en más de mil si se cuentan las versiones de código secuestradas por este grupo.
Dicho código contaminado ha permitido a TeamPCP infiltrarse en cientos de corporaciones que han instalado esas herramientas, afirman diversos expertos y responsables de inteligencia estratégica de amenazas de algunas empresas de seguridad en la nube.
GitHub es solo la víctima más reciente de una lista que incluye a OpenAI y a la contratista de datos llamada Mercor. Puede que sea su golpe más grande, señalan los expertos sobre la intrusión en GitHub. Sin embargo, cada caso es enorme para la compañía que lo sufre.
Esto no es cualitativamente distinto de las 14 brechas ocurridas solo la semana pasada, debido a que la táctica central de TeamPCP funciona como un ciclo de explotación contra los desarrolladores de software.
