2 Remove Virus

Le FBI avertit les organisations après que les attaques de la chaîne d’approvisionnement TeamPCP ont compromis plus de 1 000 environnements cloud

Le Federal Bureau of Investigation (FBI) des États-Unis met en garde les organisations contre TeamPCP, un groupe cybercriminel à l’origine d’une série d’attaques dans la chaîne d’approvisionnement logicielle qui ont compromis plus de 1 000 environnements cloud. L’agence affirme que les attaquants ont ciblé des outils de développement et de sécurité largement utilisés, leur permettant de voler des identifiants sensibles et d’accéder à l’infrastructure d’entreprise.

 

 

According to the FBI , La stratégie de TeamPCP diffère des intrusions réseau traditionnelles. Au lieu d’attaquer directement les organisations, le groupe compromet les logiciels et outils de développement de confiance déjà intégrés dans les pipelines CI/CD. Une fois qu’une mise à jour malveillante est installée, le malware peut récolter des jetons d’accès cloud, des clés SSH, des secrets Kubernetes, des clés API et d’autres identifiants sensibles à partir des environnements victimes.

L’avis relie l’opération à quatre familles de malwares : CanisterWorm, SANDCLOCK, Mini Shai-Hulud et Miasma. Chacun a une fonction différente, allant du vol de crédences à l’auto-propagation via des dépôts open source tels que npm et PyPI. Le FBI affirme que ces outils ont permis aux attaquants de diffuser un code malveillant au-delà des victimes initiales et de compromettre d’autres écosystèmes logiciels.

Les enquêteurs ont également identifié plusieurs projets légitimes qui ont été modifiés pendant la campagne. Cela inclut Trivy, KICS, LiteLLM et le SDK Python de Telnyx. Parce que ces outils sont largement utilisés dans le développement logiciel et les tests de sécurité, une seule mise à jour compromise pourrait exposer de nombreuses organisations avant que les paquets malveillants ne soient supprimés.

Le FBI avertit que les organisations devraient considérer toute crédibilité exposée pendant la campagne comme étant définitivement compromise. Même si l’intrusion initiale a été contenue, les données d’authentification volées pourraient ensuite être utilisées par TeamPCP ou d’autres acteurs malveillants pour reprendre l’accès ou soutenir des attaques ultérieures, y compris des opérations de ransomware. L’avis précise également que le groupe a menacé d’extorsion en menaçant de publier des données volées provenant d’organisations victimes.

Cet avertissement fait suite à une recherche de Sophos, mentionnée dans l’alerte du FBI, décrivant une campagne TeamPCP qui a touché plus de 1 000 environnements logiciels en tant que service d’entreprise. Les chercheurs ont indiqué que les attaquants avaient compromis plusieurs logiciels largement déployés, diffusé du code malveillant à travers des dizaines de paquets npm, et exfiltré environ 300 Go de données compressées contenant environ 500 000 ensembles d’identifiants.

Pour réduire le risque de compromission, le FBI recommande de faire tourner toutes les identifiantes exposées, de faire respecter l’authentification multi-facteur, d’appliquer des contrôles d’accès à moins de privilèges dans les environnements CI/CD, et de revoir les pipelines de construction pour détecter des modifications non autorisées. L’agence conseille également aux organisations d’épingler les flux de travail GitHub Actions sur des hachages SHA de commit vérifiés plutôt que sur des balises de version flottantes, contribuant ainsi à réduire le risque d’introduction de code malveillant via des dépendances logicielles.

Le FBI encourage les organisations qui découvrent des preuves d’activités de TeamPCP à préserver les données médico-légales et à signaler les incidents au bureau. Les responsables affirment que partager des indicateurs de compromission et de détails d’attaque aidera les enquêteurs à suivre l’infrastructure du groupe et à soutenir les efforts en cours pour perturber de futures attaques sur la chaîne d’approvisionnement.