TokyoBlackHatNews

gbhackers.com 4分で読了

TeamPCP、BreachForums が1000ドルのサプライチェーン攻撃コンテストを開始

新しいサイバー犯罪キャンペーンがサプライチェーン攻撃を公開競争に変えており、TeamPCPおよびBreachForumsの運営者が、ハッカーをオープンソースパッケージに侵害するよう奨励する1000ドルのコンテストを開始しました。

Dark Web Informerが最初に指摘したこのイニシアティブは、脅威アクターが現実世界の攻撃をゲーム化して参加者を募集し、リーチを拡大する方法のエスカレーションを示しています。

参加者は「Shai-Hulud」と呼ばれるツールを使用してオープンソースパッケージを侵害し、アクセス証明とフォーラムIDを送信する必要があります。

報酬には1000ドル相当のモネロ、評判ポイント、およびサイバー犯罪コミュニティ内での認識が含まれます。

このコンテストは、侵害されたパッケージのダウンロード数に基づくスコアリングシステムを導入しています。

Dark Web Informerによると、コンテストはBreachForumsで発表され、フォーラムの所有者と信じられるアカウントがTeamPCPと協力して行いました

週単位および月単位のダウンロードメトリクスが勝者を決定するため、広く使用されているパッケージはより高いスコアを提供します。ただし、攻撃者は複数の小さな侵害を組み合わせて合計を増やすこともできます。

このアプローチは、標的型攻撃と広範な攻撃の両方を奨励しています。高名なパッケージのみに焦点を当てるのではなく、参加者はエコシステム全体で可能な限り多くのパッケージを侵害するよう奨励されています。

実質的に、このコンテストは精密攻撃ではなく、広範で無差別の感染を推進しています。

セキュリティ研究者は、このモデルがワーム状の動作に似ていることに注意しており、悪意あるコードは複数のエントリポイント全体に急速に拡散して影響を最大化します。

1000ドルのサプライチェーン攻撃コンテスト

危険な意味合いがありますが、財政的報酬は盗まれたアクセスの潜在的価値と比べると比較的少ないものです。成功したサプライチェーンの侵害は以下を露出させることができます:

  • CI/CDパイプラインシークレット
  • クラウド認証情報
  • メンテナトークン
  • ソースコードリポジトリ
  • エンタープライズ環境

そのようなアクセスは1000ドルをはるかに超えて金銭化される可能性があります。特にランサムウェアグループやアクセスブローカーに売却される場合です。これにより、アナリストはこのコンテストが利益よりも募集と認知度に関するものではないと考えるに至りました。

パブリックリーダーボードと認識を提供することで、TeamPCPは実質的に、価値あるアクセスをステータスと引き換えに取引することを厭わない下位層または経験不足のアクターを惹きつけています。

脅威を加えて、TeamPCPはShai-Huludアタックツールをオープンソースマルウェアとしてリリースし、BreachForumsインフラストラクチャでホストされています。Xでリポジトリを追跡するユーザーからのレポートによると、GitHubに一時的に表示されてから削除されました。

そのようなツールの利用可能性により、エントリーバリアが低下し、以前は高度な機能を必要としていたサプライチェーン攻撃に参加することができるスキルの低い攻撃者が可能になります。

TeamPCPはすでに重要な開発者インフラストラクチャを対象とするための評判を構築しています。Socketの研究によると、このグループはnpm、PyPI、GitHub Actions、Dockerイメージ、およびOpenVSX拡張機能などのプラットフォームを積極的に侵害しています。

彼らの戦略は、すでに信頼された環境内で動作するツールに浸透することに焦点を当てています。内部に入ると、認証情報を収集し、エンタープライズシステム全体の下流攻撃を可能にします。

以前のステートメントでは、このグループは現代的な防御が彼らの技術に対して無効であると主張して、セキュリティベンダーを公然と嘲笑しました。

このコンテストは、盗まれた認証情報が他の脅威アクターに渡される既存のパイプラインを拡張するようです。

TeamPCPにリンクされている以前のキャンペーンは、AI開発、製造、金融サービス、および政府クラウドプラットフォームを含むセクターに影響を与えたと報告されています。

Vect、ShinyHunters、およびLapsus$のようなグループを含む重複するクレームもあり、攻撃が同様のサプライチェーンの侵害に由来する場合でも、帰属を困難にしています。

1000ドルの報酬は高度にスキルのあるオペレータを惹きつけない可能性がありますが、無謀な攻撃の可能性を大幅に増加させます。このコンテストは、オープンソースエコシステム全体で同様の攻撃を奨励するパブリックインセンティブ構造を導入しています。

すでに持続的なサプライチェーン脅威に対処しているメンテナーとセキュリティチームにとって、この開発は新しい圧力のレイヤーを追加します。

攻撃を競争的なゲームに変えることで、TeamPCPはソフトウェアサプライチェーンを標的にしている攻撃者のプールを拡大するだけでなく、脆弱性を悪用しています。

翻訳元: https://gbhackers.com/1k-supply-chain-attack-contest/

ソース: gbhackers.com
#BreachForums #GitHub #npm #PyPI #TeamPCP #オープンソースセキュリティ #サプライチェーン攻撃 #マルウェア #脅威グループ #脆弱性

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚