2 Remove Virus

FBI alerta organizações após ataques na cadeia de suprimentos do TeamPCP comprometerem mais de 1.000 ambientes em nuvem

O Federal Bureau of Investigation (FBI) dos EUA está alertando organizações sobre o TeamPCP, um grupo cibercriminoso responsável por uma série de ataques à cadeia de suprimentos de software que comprometeram mais de 1.000 ambientes de nuvem. A agência afirma que os atacantes miraram ferramentas de desenvolvimento e segurança amplamente utilizadas, permitindo que roubassem credenciais sensíveis e tenham acesso à infraestrutura corporativa.

 

 

According to the FBI , a estratégia do TeamPCP difere das intrusões tradicionais de rede. Em vez de atacar organizações diretamente, o grupo compromete pacotes de software confiáveis e ferramentas de desenvolvimento que já estão integrados aos pipelines CI/CD. Uma vez instalada uma atualização maliciosa, o malware pode coletar tokens de acesso à nuvem, chaves SSH, segredos do Kubernetes, chaves de API e outras credenciais sensíveis de ambientes vítimas.

O aviso vincula a operação a quatro famílias de malwares: CanisterWorm, SANDCLOCK, Mini Shai-Hulud e Miasma. Cada um tem um propósito diferente, que vai desde roubo de credenciais até autopropagação por meio de repositórios de pacotes open source como npm e PyPI. O FBI afirma que essas ferramentas permitiram que os atacantes espalhassem código malicioso além das vítimas iniciais e comprometessem ecossistemas de software adicionais.

Os investigadores também identificaram vários projetos legítimos que foram modificados durante a campanha. Entre eles estão Trivy, KICS, LiteLLM e o SDK Python da Telnyx. Como essas ferramentas são amplamente utilizadas no desenvolvimento de software e testes de segurança, uma única atualização comprometida pode expor várias organizações antes que os pacotes maliciosos sejam removidos.

O FBI alerta que as organizações devem tratar quaisquer credenciais expostas durante a campanha como permanentemente comprometidas. Mesmo que a intrusão inicial tenha sido contida, dados de autenticação roubados podem ser usados posteriormente pelo TeamPCP ou outros agentes ameaçadores para recuperar acesso ou apoiar ataques subsequentes, incluindo operações de ransomware. O comunicado também afirma que o grupo praticou extorsão ao ameaçar publicar dados roubados de organizações vítimas.

O alerta segue uma pesquisa da Sophos, mencionada no alerta do FBI, que descreve uma campanha do TeamPCP que afetou mais de 1.000 ambientes corporativos de software como serviço. Pesquisadores disseram que os atacantes comprometeram múltiplos pacotes de software amplamente implantados, espalharam código malicioso por dezenas de pacotes npm e exfiltraram cerca de 300 GB de dados comprimidos contendo cerca de 500.000 conjuntos de credenciais.

Para reduzir o risco de comprometimento, o FBI recomenda rotacionar todas as credenciais expostas, aplicar autenticação multifator, aplicar controles de acesso de privilégio mínimo em ambientes CI/CD e revisar pipelines de construção para modificações não autorizadas. A agência também aconselha as organizações a fixarem os fluxos de trabalho GitHub Actions em hashes SHA de commit verificados, em vez de tags de versão flutuantes, ajudando a reduzir o risco de código malicioso ser introduzido por dependências de software.

O FBI está incentivando organizações que descobrirem evidências da atividade do TeamPCP a preservar dados forenses e relatar incidentes ao bureau. Autoridades afirmam que compartilhar indicadores de comprometimento e detalhes do ataque ajudará os investigadores a rastrear a infraestrutura do grupo e apoiar os esforços contínuos para interromper futuros ataques na cadeia de suprimentos.