Een zogenaamde software aanval op de toeleveringsketenwaarbij hackers een legitiem stukje software corrumperen om hun eigen kwaadaardige code te verbergen, was ooit een relatief zeldzame gebeurtenis, maar wel een die de cyberbeveiligingswereld achtervolgde met zijn verraderlijke dreiging om van een onschuldige applicatie een gevaarlijke voet aan de grond te maken in het netwerk van een slachtoffer. Nu een groep cybercriminelen heeft van die occasionele nachtmerrie een bijna wekelijkse episode gemaakt, waarbij honderden open source-tools zijn gecorrumpeerd, slachtoffers zijn afgeperst voor winst en een nieuw niveau van wantrouwen is gezaaid in een heel ecosysteem dat wordt gebruikt om de software van de wereld te creëren.
Dinsdagavond maakte het open source codeplatform GitHub bekend dat het door hackers was gehackt bij een dergelijke aanval op de softwaretoevoerketen: een GitHub-ontwikkelaar had een “vergiftigde” extensie geïnstalleerd voor VSCode, een plug-in voor een veelgebruikte code-editor die, net als GitHub zelf, eigendom is van Microsoft. Als gevolg hiervan beweren de hackers achter de inbreuk, een steeds beruchtere groep genaamd TeamPCP, toegang te hebben gehad tot ongeveer 4.000 van de codeopslagplaatsen van GitHub. De verklaring van GitHub bevestigde dat het minstens 3.800 gecompromitteerde repository’s had gevonden, terwijl het opmerkte dat, op basis van de bevindingen tot nu toe, deze allemaal GitHub’s eigen code bevatten, en niet die van klanten.
“We zijn hier vandaag om de broncode en interne organisaties van GitHub te koop aan te bieden”, schreef TeamPCP op BreachForums, een forum en marktplaats voor cybercriminelen. “Alles voor het hoofdplatform is aanwezig en ik stuur met veel plezier monsters naar geïnteresseerde kopers om de absolute authenticiteit te verifiëren.”
De GitHub-inbreuk is slechts het laatste incident in wat de langstlopende reeks aanvallen op de software-toeleveringsketen ooit is geworden, waarvan het einde nog niet in zicht is. Volgens cyberbeveiligingsbedrijf Socket, dat zich richt op softwaretoeleveringsketens, heeft TeamPCP de afgelopen maanden twintig ‘golven’ van aanvallen op de toeleveringsketen uitgevoerd waarbij malware is verborgen in meer dan 500 verschillende stukjes software, of ruim duizend als je alle verschillende versies van de code meetelt die TeamPCP heeft gekaapt.
Deze besmette stukjes code hebben de hackers van TeamPCP in staat gesteld honderden bedrijven binnen te dringen die de software hebben geïnstalleerd, zegt Ben Read, die leiding geeft aan de strategische dreigingsinformatie bij het cloudbeveiligingsbedrijf Wiz. GitHub is slechts het laatste op de lange lijst van slachtoffers van de groep, waartoe ook AI-bedrijf OpenAI en het datacontractbedrijf Mercor behoren. “Het is misschien wel hun grootste”, zegt Read over de inbreuk op GitHub. “Maar elk van deze gevallen is van groot belang voor het bedrijf waarmee het gebeurt. Kwalitatief verschilt het niet van de veertien inbreuken die vorige week plaatsvonden.”
De kerntactiek van TeamPCP is een soort cyclische uitbuiting van softwareontwikkelaars geworden: de hackers krijgen toegang tot een netwerk waar een open source-tool wordt ontwikkeld die vaak door programmeurs wordt gebruikt, bijvoorbeeld de VSCode-extensie die leidde tot de GitHub-inbraak of de datavisualisatiesoftware AntV die TeamPCP eerder deze week heeft gekaapt. De hackers plaatsen malware in de tool die op de machines van andere softwareontwikkelaars terechtkomt, waaronder sommigen die andere tools schrijven die bedoeld zijn om door programmeurs te worden gebruikt.
Met de malware kunnen de hackers van TeamPCP inloggegevens stelen waarmee ze kwaadaardige versies van kunnen publiceren die ook softwareontwikkelingstools. De cyclus herhaalt zich en de verzameling geschonden netwerken van TeamPCP groeit. “Het is een vliegwiel van compromissen in de toeleveringsketen”, zegt Read. “Het houdt zichzelf in stand en het is een enorm succesvolle manier geweest om toegang te krijgen tot netwerken en dingen te stelen.”
Recentelijk lijkt de groep veel van zijn aanvallen op de softwaretoevoerketen te hebben geautomatiseerd met een zichzelf verspreidende worm die bekend is geworden als Mini Shai-Hulud. De naam komt van GitHub-opslagplaatsen die de worm maakt en die gecodeerde inloggegevens bevatten die van slachtoffers zijn gestolen, en die elk de zinsnede “A Mini Shai-Hulud Has Appeared” bevatten, samen met een handvol andere verwijzingen naar de sciencefictionroman Duin. Die boodschap blijkt op zijn beurt niet alleen een verwijzing naar Duin’s zandwormen, maar op een soortgelijke supply chain-compromisworm bekend als Shai-Hulud die in september verscheenhoewel er geen bewijs is dat TeamPCP achter deze eerdere, zichzelf verspreidende malware zat.
