Un grup de hackeri cunoscut sub numele TeamPCP a declanșat un val de atacuri în lanțul de aprovizionare software la o scară pe care experții în securitate o descriu drept fără precedent. GitHub a fost cea mai recentă țintă, iar numărul organizațiilor compromise a ajuns la sute - și continuă să crească.

Conform Wired, TeamPCP a dus la un nivel cu totul nou ceea ce specialiștii numesc «software supply chain attack» - un tip de atac în care codul malițios nu vizează direct o aplicație sau o companie, ci se infiltrează în bibliotecile și pachetele open source pe care mii de proiecte le folosesc zilnic. Odată ce un pachet popular este compromis, orice aplicație care îl importă devine automat vulnerabilă, indiferent de cât de bine este protejat propriul ei cod.

Metoda grupului este deosebit de eficientă tocmai pentru că exploatează încrederea care stă la baza ecosistemului open source. Dezvoltatorii descarcă și integrează pachete externe constant, uneori fără să verifice în detaliu fiecare actualizare. TeamPCP a profitat exact de această vulnerabilitate structurală, inserând cod malițios în pachete aparent legitime, distribuite prin platforme de cod cum este GitHub. Wired descrie seria de atacuri drept «o serie de atacuri în lanțul de aprovizionare software care a afectat sute de organizații».

Ceea ce face ca această campanie să fie diferită față de incidente similare din trecut nu este doar amploarea, ci și ritmul. Grupul a reușit să compromită multiple ținte într-un interval scurt, sugerând un nivel ridicat de automatizare și planificare. Experții citați de Wired subliniază că este greu de estimat cu precizie câte sisteme sunt afectate, pentru că natura atacurilor în lanțul de aprovizionare face detectarea extrem de dificilă - codul malițios poate rămâne activ mult timp înainte să fie identificat.

Atacurile de tip supply chain nu sunt noi. Cel mai cunoscut precedent este cazul SolarWinds din 2020, când hackeri legați de serviciile de informații ruse au compromis un update al unui software de monitorizare de rețea folosit de zeci de agenții guvernamentale americane și companii Fortune 500. Cazul TeamPCP ridică aceeași problemă fundamentală: cu cât un ecosistem software este mai interconectat, cu atât un singur punct de intrare compromis poate produce daune la scară uriașă. Diferența este că SolarWinds a fost un atac izolat, pe când TeamPCP pare să opereze în rafale repetate, vizând în mod sistematic infrastructura open source.

Pentru utilizatorii obișnuiți, impactul direct poate fi invizibil - aplicațiile de zi cu zi, serviciile cloud sau platformele SaaS pot rula cod compromis fără niciun semn vizibil. Pentru organizații, miza este mult mai mare: date exfiltrate, acces neautorizat la sisteme interne sau posibilitatea instalării unor backdoor-uri care pot fi activate ulterior.

Rămâne de văzut cum vor răspunde platformele majore de cod, în frunte cu GitHub, și dacă atacurile TeamPCP vor accelera adoptarea unor standarde mai stricte de verificare a pachetelor open source. S-ar putea ca acest val să forțeze industria să regândească din temelii modul în care se stabilește încrederea în codul distribuit public. Ceea ce este clar acum este că orice organizație care folosește pachete open source - adică aproape toate - ar trebui să trateze această știre ca pe un semnal de alarmă, nu ca pe o problemă a altcuiva.