Велика група хакерів отруює відкритий вихідний код

Безпека з відкритим вихідним кодом стикається з ескалацією загрози, оскільки досвідчена хакерська група, відома як TeamPCP, організувала широкомасштабну кампанію атак на ланцюжок постачання програмного забезпечення, яка є однією з найбільш значущих скоординованих зусиль з компрометації інфраструктури розробників за останній час. Злочинна організація систематично атакувала вразливі репозиторії та проекти спільноти, користуючись довірою мільйонів розробників до загальнодоступних сховищ коду. Цей широкомасштабний напад демонструє тривожну зміну в тактиці кіберзлочинців, відходячи від націлювання на окремі організації до компрометації фундаментальних будівельних блоків, які живлять сучасні екосистеми розробки програмного забезпечення в усьому світі.

GitHub, найбільша у світі платформа для спільної розробки програмного забезпечення та контролю версій, стала однією з останніх і найпомітніших жертв невпинної кампанії TeamPCP. Платформа, яка містить мільйони репозиторіїв, на які покладаються підприємства, стартапи та незалежні розробники по всьому світу, служить критичною точкою інфраструктури в життєвому циклі розробки програмного забезпечення. Порушення викликає серйозне занепокоєння для всієї спільноти розробників, оскільки репозиторії GitHub часто служать ланцюжками залежностей, які надходять у незліченну кількість подальших програм. Ця атака підкреслює системну вразливість, притаманну екосистемам з відкритим кодом, де повторне використання коду та керування залежностями створюють взаємопов’язані мережі потенційного компрометування.

Обсяг діяльності TeamPCP викликає особливе занепокоєння, оскільки є дані про те, що сотні організацій у різних секторах постраждали від їхньої зловмисної діяльності. Дослідники безпеки, які відстежують групу, задокументували вторгнення до фінансових установ, технологічних компаній, постачальників медичних послуг і державних установ. Зловмисники продемонстрували глибокі знання робочих процесів розробки програмного забезпечення, механізмів усунення залежностей і систем керування сховищами. Їх здатність працювати в такому масштабі, залишаючись частково непоміченим, говорить як про їхні технічні можливості, так і про проблеми, з якими стикається спільнота кібербезпеки під час моніторингу екосистем з відкритим кодом.