Aanvallers misbruiken open source voor besmetting

In dit artikel:

Onderzoekers waarschuwen dat een nieuwe campagne van de groep TeamPCP laat zien hoe snel aanvallen op de softwareketen escaleren en hoe ingrijpend het misbruik van ontwikkelomgevingen kan zijn. De groep kwam volgens Ars Technica eind vorig jaar in beeld door automatische wormen die kwetsbare cloudomgevingen binnendrongen; geïnfecteerde systemen werden gebruikt voor datadiefstal, ransomware en cryptomining. In de afgelopen weken is de operatie een nieuwe fase ingegaan: aanvallers kregen toegang tot ontwikkeltools en ketens van vertrouwen, onder meer door een GitHub-account van een ontwikkelaar te compromitteren en zo de Trivy-scanner — een veelgebruikt securitytool — te besmetten en kwaadaardige code via vertrouwde software te verspreiden.

Daarnaast verschijnt malware die zich via npm verspreidt: bij infectie zoekt die naar toegangstokens en publiceert dan nieuwe versies van pakketten met verborgen schadelijke code. Ontwikkelaars die besmette afhankelijkheden installeren, helpen onbedoeld de verspreiding, met snelle uitbreiding naar andere projecten als gevolg. Technisch opvallend is het gebruik van het Internet Computer Protocol als communicatie- en beheerlaag in plaats van traditionele command-and-control-servers, wat de infrastructuur dynamischer en moeilijker te traceren maakt.

Nieuw en zorgwekkend is een destructieve module die specifiek systemen in Iran onbruikbaar kan maken — een afwijking van de eerder vooral financieel gedreven tactiek, mogelijk met zichtbaarheid of politieke doelen. Voor organisaties die werken met CI/CD-pipelines en open source componenten onderstreept dit het belang van strikte toegangscontrole, het beschermen van tokens en geautomatiseerde publicatieprocessen, en intensieve monitoring en verificatie van afhankelijkheden om ketenaanvallen te beperken.