De Amerikaanse Federal Bureau of Investigation (FBI) waarschuwt organisaties voor TeamPCP, een cybercriminele groep achter een reeks software-supply chain-aanvallen die meer dan 1.000 cloudomgevingen hebben gecompromitteerd. De instantie zegt dat de aanvallers zich richtten op veelgebruikte ontwikkelaars- en beveiligingstools, waardoor zij gevoelige inloggegevens konden stelen en toegang konden krijgen tot de bedrijfsinfrastructuur.
According to the FBI , De strategie van TeamPCP verschilt van traditionele netwerkinbraak. In plaats van organisaties direct aan te vallen, compromitteert de groep vertrouwde softwarepakketten en ontwikkelingstools die al geïntegreerd zijn in CI/CD-pijplijnen. Zodra een kwaadaardige update is geïnstalleerd, kan de malware cloudtoegangstokens, SSH-sleutels, Kubernetes-geheimen, API-sleutels en andere gevoelige inloggegevens verzamelen uit slachtofferomgevingen.
Het advies koppelt de operatie aan vier malwarefamilies: CanisterWorm, SANDCLOCK, Mini Shai-Hulud en Miasma. Elk dient een ander doel, variërend van het stelen van inloggegevens tot zelfpropagatie via open source pakketrepositories zoals npm en PyPI. De FBI zegt dat deze tools de aanvallers in staat stelden kwaadaardige code te verspreiden buiten de oorspronkelijke slachtoffers en extra software-ecosystemen te compromitteren.
Onderzoekers identificeerden ook verschillende legitieme projecten die tijdens de campagne waren aangepast. Deze omvatten Trivy, KICS, LiteLLM en de Telnyx Python SDK. Omdat deze tools veel worden gebruikt in softwareontwikkeling en beveiligingstesten, kan een enkele gecompromitteerde update talloze organisaties blootstellen voordat de kwaadaardige pakketten worden verwijderd.
De FBI waarschuwt dat organisaties alle tijdens de campagne blootgestelde referenties als permanent gecompromitteerd moeten beschouwen. Zelfs als de eerste inbraak is ingeperkt, kunnen gestolen authenticatiegegevens later door TeamPCP of andere dreigingsactoren worden gebruikt om weer toegang te krijgen of vervolgaanvallen, waaronder ransomware-operaties, te ondersteunen. Het advies vermeldt ook dat de groep zich schuldig heeft gemaakt aan afpersing door te dreigen gestolen gegevens van slachtofferorganisaties te publiceren.
De waarschuwing volgt op onderzoek van Sophos, genoemd in de FBI-waarschuwing, waarin een TeamPCP-campagne werd beschreven die meer dan 1.000 bedrijfssoftware-als-een-dienst-omgevingen beïnvloedde. Onderzoekers zeiden dat de aanvallers meerdere breed gebruikte softwarepakketten hebben gecompromitteerd, kwaadaardige code verspreidden via tientallen npm-pakketten en ongeveer 300 GB aan gecomprimeerde data met naar schatting 500.000 inloggegevens hadden geëxfiltreerd.
Om het risico op compromittering te verkleinen, raadt de FBI aan om alle blootgestelde inloggegevens te roteren, multifactorauthenticatie af te dwingen, least-privilege toegangscontroles toe te passen in CI/CD-omgevingen en build-pipelines te controleren op ongeautoriseerde wijzigingen. Het agentschap adviseert organisaties ook om GitHub Actions-workflows vast te pen op geverifieerde commit SHA-hashes in plaats van floating version tags, wat helpt het risico te verminderen dat kwaadaardige code via softwareafhankelijkheden wordt geïntroduceerd.
De FBI dringt er bij organisaties op aan die bewijs vinden van TeamPCP-activiteiten om forensische gegevens te bewaren en incidenten aan het bureau te rapporteren. Functionarissen zeggen dat het delen van indicatoren van compromitterings- en aanvaldetails onderzoekers zal helpen de infrastructuur van de groep te volgen en voortdurende inspanningen te ondersteunen om toekomstige aanvallen in de toeleveringsketen te verstoren.