2 Remove Virus

L’FBI avverte le organizzazioni dopo che gli attacchi alla supply chain di TeamPCP compromettono oltre 1.000 ambienti cloud

Il Federal Bureau of Investigation (FBI) degli Stati Uniti sta avvertendo le organizzazioni riguardo a TeamPCP, un gruppo di criminali informatici dietro una serie di attacchi alla catena di approvvigionamento software che hanno compromesso più di 1.000 ambienti cloud. L’agenzia afferma che gli attaccanti hanno preso di mira strumenti di sviluppo e sicurezza ampiamente utilizzati, permettendo loro di rubare credenziali sensibili e accedere all’infrastruttura aziendale.

 

 

According to the FBI , la strategia di TeamPCP differisce dalle intrusioni di rete tradizionali. Invece di attaccare direttamente le organizzazioni, il gruppo compromette pacchetti software affidabili e strumenti di sviluppo già integrati nelle pipeline CI/CD. Una volta installato un aggiornamento malevolo, il malware può raccogliere token di accesso cloud, chiavi SSH, segreti Kubernetes, chiavi API e altre credenziali sensibili dagli ambienti vittime.

L’avviso collega l’operazione a quattro famiglie di malware: CanisterWorm, SANDCLOCK, Mini Shai-Hulud e Miasma. Ognuno ha uno scopo diverso, che va dal furto di credenziali all’auto-propagazione tramite repository open source di pacchetti come npm e PyPI. L’FBI afferma che questi strumenti hanno permesso agli aggressori di diffondere codice malevolo oltre le vittime iniziali e compromettere ulteriori ecosistemi software.

Gli investigatori hanno inoltre identificato diversi progetti legittimi che sono stati modificati durante la campagna. Questi includono Trivy, KICS, LiteLLM e il Telnyx Python SDK. Poiché questi strumenti sono ampiamente utilizzati nello sviluppo software e nei test di sicurezza, un singolo aggiornamento compromesso potrebbe esporre numerose organizzazioni prima che i pacchetti dannosi vengano rimossi.

L’FBI avverte che le organizzazioni dovrebbero considerare qualsiasi credenzialità esposta durante la campagna come permanentemente compromessa. Anche se l’intrusione iniziale è stata contenuta, i dati di autenticazione rubati potrebbero essere successivamente utilizzati da TeamPCP o da altri attori della minaccia per riottenere l’accesso o supportare attacchi successivi, incluse operazioni ransomware. L’avviso afferma inoltre che il gruppo ha praticato estorsione minacciando di pubblicare dati rubati da organizzazioni vittime.

L’avviso segue una ricerca di Sophos, citata nell’allerta FBI, che descrive una campagna TeamPCP che ha colpito più di 1.000 ambienti software aziendali come servizio. I ricercatori hanno detto che gli attaccanti hanno compromesso più pacchetti software ampiamente distribuiti, diffuso codice malevolo attraverso decine di pacchetti npm ed espulso circa 300 GB di dati compressi contenenti circa 500.000 set di credenziali.

Per ridurre il rischio di compromissione, l’FBI raccomanda di ruotare tutte le credenziali esposte, di far rispettare l’autenticazione multifattore, di applicare controlli di accesso a privilegi minimi in ambienti CI/CD e di rivedere le pipeline di compilazione per modifiche non autorizzate. L’agenzia consiglia inoltre alle organizzazioni di fissare i flussi di lavoro GitHub Actions a hash SHA di commit verificati invece che ai tag di versione fluttuanti, aiutando a ridurre il rischio di introduzione di codice dannoso tramite dipendenze software.

L’FBI sta esortando le organizzazioni che scoprono prove dell’attività del TeamPCP a preservare i dati forensi e segnalare gli incidenti all’ufficio. I funzionari affermano che condividere indicatori di compromissione e dettagli sugli attacchi aiuterà gli investigatori a monitorare l’infrastruttura del gruppo e a sostenere gli sforzi in corso per interrompere futuri attacchi alla catena di approvvigionamento.