2 Remove Virus

FBI, TeamPCP tedarik zinciri saldırılarının 1.000’den fazla bulut ortamını tehlikeye atmasının ardından kuruluşları uyarıyor

ABD Federal Soruşturma Bürosu (FBI), 1.000’den fazla bulut ortamını ele geçiren bir dizi yazılım tedarik zinciri saldırısının arkasında duran bir siber suçlu grup olan TeamPCP hakkında kuruluşları uyarıyor. Ajans, saldırganların yaygın olarak kullanılan geliştirici ve güvenlik araçlarını hedef aldığını, böylece hassas kimlik bilgilerini çalmalarına ve kurumsal altyapıya erişim sağladıklarını söylüyor.

 

 

According to the FBI , TeamPCP’nin stratejisi geleneksel ağ müdahalelerinden farklıdır. Grup, kuruluşlara doğrudan saldırmak yerine, CI/CD boru hatlarına entegre edilmiş güvenilir yazılım paketlerini ve geliştirme araçlarını tehlikeye atıyor. Kötü amaçlı bir güncelleme yüklendikten sonra, kötü amaçlı yazılım bulut erişim tokenlarını, SSH anahtarlarını, Kubernetes sırlarını, API anahtarlarını ve diğer hassas kimlik bilgilerini mağdur ortamlardan toplayabilir.

Danışmanlık operasyonu dört kötü amaçlı yazılım ailesine bağlıyor: CanisterWorm, SANDCLOCK, Mini Shai-Hulud ve Miasma. Her biri, kimlik bilgilerinin hırsızlığından npm ve PyPI gibi açık kaynak paket depoları aracılığıyla kendi kendine yayılmaya kadar farklı bir amaca hizmet eder. FBI, bu araçların saldırganların zararlı kodu ilk kurbanların ötesine yaymasını ve ek yazılım ekosistemlerini ele geçirmesini sağladığını söylüyor.

Soruşturmacılar ayrıca kampanya sırasında değiştirilen birkaç meşru proje tespit etti. Bunlar arasında Trivy, KICS, LiteLLM ve Telnyx Python SDK bulunmaktadır. Bu araçlar yazılım geliştirme ve güvenlik testlerinde yaygın olarak kullanıldığı için, tek bir tehlikeli güncelleme, zararlı paketler kaldırılmadan önce birçok kuruluşu açığa çıkarabilir.

FBI, kampanya sırasında ortaya çıkan herhangi bir kimlik bilgilerini kalıcı olarak ele alması gerektiğini uyarıyor. İlk müdahale kontrol altına alınmış olsa bile, çalınan kimlik doğrulama verileri daha sonra TeamPCP veya diğer tehdit aktörleri tarafından erişim sağlamak veya takip eden saldırıları, özellikle fidye yazılımı operasyonlarını desteklemek için kullanılabilir. Tavsiyede ayrıca, grubun mağdur örgütlerinden çalınan verileri yayınlamakla tehdit ederek şantaj faaliyetlerine girdiği belirtiliyor.

Uyarı, FBI uyarısında bahsedilen Sophos tarafından yapılan araştırmanın ardından geldi; bu araştırma, 1.000’den fazla kurumsal yazılım hizmet olarak ortamını etkileyen bir TeamPCP kampanyasını anlatıyor. Araştırmacılar, saldırganların yaygın olarak kullanılan birçok yazılım paketini ele geçirdiğini, onlarca npm paketi aracılığıyla kötü amaçlı kod yaydığını ve yaklaşık 300 GB sıkıştırılmış veriyi yaklaşık 500.000 kimlik bilgisi seti içeren kişilere sızdırdığını söyledi.

Tehlikat riskini azaltmak için FBI, tüm açıkta kalan kimlik bilgilerinin döndürülmesini, çok faktörlü kimlik doğrulamanın uygulanmasını, CI/CD ortamlarında en az ayrıcalıklı erişim kontrollerinin uygulanmasını ve yetkisiz değişiklikler için derleme boru hatlarının gözden geçirilmesini öneriyor. Ajans ayrıca kuruluşlara GitHub Actions iş akışlarını onaylanmış commit SHA hash’larına sabitlemelerini tavsiye eder; böylece yazılım bağımlılıkları yoluyla kötü amaçlı kodun girme riskini azaltmaya yardımcı olur.

FBI, TeamPCP faaliyetlerine dair kanıt bulan kuruluşları adli verileri korumaya ve olayları büroya bildirmeye çağırıyor. Yetkililer, tehlike göstergeleri ve saldırı detaylarının paylaşılmasının, soruşturmacıların grubun altyapısını takip etmesine ve gelecekteki tedarik zinciri saldırılarını engellemeye yönelik devam eden çabaları destekleyeceğini söylüyor.