Los ataques a la cadena de suministro de software, en los que los hackers corrompen un programa legítimo para ocultar su propio código malicioso, eran antes un suceso relativamente raro, pero que aterrorizaba al mundo de la ciberseguridad por su insidiosa amenaza de convertir cualquier aplicación inocente en un punto de entrada peligroso en la red de la víctima. Ahora, un grupo de ciberdelincuentes ha transformado esa pesadilla ocasional en un episodio casi semanal, corrompiendo cientos de herramientas de código abierto, extorsionando a las víctimas para obtener beneficios y sembrando una nueva ola de desconfianza en todo un ecosistema utilizado para crear el software del mundo.
La plataforma de código abierto GitHub anunció que había sido víctima de un ataque informático en la cadena de suministro de software. Un desarrollador de GitHub había instalado una extensión maliciosa para VS Code, un complemento para un editor de código de uso común que, al igual que GitHub, pertenece a Microsoft. Como resultado, un grupo cada vez más conocido llamado TeamPCP, afirman haber accedido a unos 4000 repositorios de código de GitHub. El comunicado de GitHub confirmó haber encontrado al menos 3800 repositorios comprometidos, aunque señaló que, hasta el momento, todos contenían código propio de GitHub, no de sus clientes.
«Hoy estamos aquí para anunciar la venta del código fuente y las organizaciones internas de GitHub. Todo lo necesario para la plataforma principal está disponible y con mucho gusto enviaremos muestras a los compradores interesados para que verifiquen su absoluta autenticidad», escribió TeamPCP en BreachForums, un foro y mercado para ciberdelincuentes.
Cómo operan estos hackers
La brecha de seguridad de GitHub es solo el incidente más reciente de la que se ha convertido en la serie de ataques a la cadena de suministro de software más prolongada de la historia, sin que se vislumbre un final. Según la empresa de ciberseguridad Socket, especializada en cadenas de suministro de software, TeamPCP ha llevado a cabo, en los últimos meses, 20 «oleadas» de ataques a la cadena de suministro que han ocultado malware en más de 500 programas distintos, o más de mil si se cuentan todas las versiones del código que TeamPCP ha secuestrado.
Según Ben Read, responsable de inteligencia estratégica sobre amenazas en la empresa de seguridad en la nube Wiz, esos fragmentos de código infectados han permitido a los hackers de TeamPCP infiltrarse en cientos de empresas que instalaron el software. GitHub es solo la última víctima de la larga lista del grupo, que también incluye a OpenAI y a la empresa de gestión de datos Mercor. «Puede que sea su mayor ataque. Pero cada uno de estos ataques es importante para la empresa afectada. No difiere sustancialmente de las 14 filtraciones que se produjeron anteriormente», afirma Read sobre la filtración de GitHub.
La táctica principal de TeamPCP se ha convertido en una especie de explotación cíclica de desarrolladores de software: los hackers acceden a una red donde se está desarrollando una herramienta de código abierto comúnmente usada por programadores; por ejemplo, la extensión de VSCode que provocó la filtración de GitHub o el software de visualización de datos AntV que TeamPCP secuestró a principios de esta semana. Los hackers instalan malware en la herramienta, que termina en las máquinas de otros desarrolladores, incluidos algunos que están creando otras herramientas destinadas a programadores.
El malware también permite a TeamPCP robar credenciales para publicar versiones maliciosas de esas herramientas de desarrollo de software. El ciclo se repite y la colección de redes infectadas de TeamPCP crece. «Es una rueda volante de compromisos de la cadena de suministro. Se autoperpetúa y ha sido una forma muy exitosa de acceder a las redes y robar cosas», cuenta Read.
