サイバー犯罪グループがソフトウェア供給チェーン攻撃を公開競争に変えています。BreachForumsの運営者と協力するTeamPCPは、オープンソースパッケージを侵害したハッカーに報酬を与える1,000ドルのコンテストを立ち上げました。その影響は賞金をはるかに超えて広がっています。
Dark Web Informerが最初に報道したこのキャンペーンは、フォーラムの所有者と考えられるアカウントによってBreachForumsで発表されました。
参加者は「Shai-Hulud」というツールを使用してオープンソースパッケージを侵害し、フォーラムIDと共にアクセス証明を提出する必要があります。
優勝者はMoneroで1,000ドル、さらにサイバー犯罪エコシステム内での評判ポイントとコミュニティの認識を獲得します。
このコンテストが特に危険な理由はそのスコアリングモデルです。侵害されたパッケージの週間および月間ダウンロード数に基づいてポイントが与えられます。つまり、広く使用されているライブラリが最高スコアを獲得するということです。
ただし、攻撃者は複数の小さな侵害をスタックして合計を増やすこともできます。この二重のインセンティブは参加者を標的型攻撃と無差別攻撃の両方に向かわせ、個別の高価値ターゲットに焦点を当てるのではなく、オープンソースエコシステム全体をカバーします。
セキュリティ研究者は、この行動がワーム型の伝播に似ており、悪意のあるコードが複数のエントリーポイント全体に積極的に広がり、到達範囲を最大化すると警告しています。
精密な攻撃ではなく、このコンテストはnpm、PyPI、GitHub Actions、Dockerイメージ、およびOpenVSX拡張プラットフォーム全体での広範な日和見的感染を積極的に促進しており、TeamPCPはこれらを既に対象にしていることが文書化されています。
TeamPCPはShai-Huludアタックツールをオープンソースマルウェアとしてリリースし、BreachForumsインフラストラクチャでホストしています。
X上でリポジトリを監視しているユーザーによると、コピーはGitHub上に一時的に現れた後、削除されました。
ツールを公開することで、グループは供給チェーン攻撃への参加に必要なスキルの閾値を事実上低下させました。
以前は高度な専門知識が必要だった機能は、経験の浅い攻撃者にもアクセス可能になりました。
アナリストは、このコンテストは1,000ドルの報酬よりも採用と認知度に関するものだと考えています。
供給チェーン侵害の成功は、CI/CDパイプライン秘密、クラウド認証情報、メンテナートークン、ソースコードリポジトリ、および企業環境へのアクセスを露出させます。これらは特にランサムウェアグループやアクセスブローカーに売却される場合、4桁をはるかに超えて収益化できます。
このコンテストは既存の認証情報収集パイプラインを拡張しているように見えます。TeamPCPに属するとされる以前のキャンペーンは、AI開発、製造、金融サービス、および政府クラウドプラットフォームに影響を与えたと報告されています。
Vect、ShinyHunters、Lapsus$などのグループを巻き込む重複する主張もあり、攻撃が同様の供給チェーン侵害にまで遡る場合でも、帰属を複雑にしています。
パブリックリーダーボードとフォーラムステータスを提供することで、TeamPCPは高価値なアクセスを認識と交換する意思のある下位のアクターを引き付け、オープンソースメンテナーとセキュリティチームに対する無責任な攻撃の量を劇的に増加させています。
オープンソースソフトウェアに依存する組織にとって、この発展は既に深刻な脅威環境を激化させます。TeamPCPは既存の脆弱性を悪用しているだけでなく、新しい波の攻撃者を積極的に採用し、ソフトウェア供給チェーン信頼の破壊をゲーム化しています。
翻訳元: https://cyberpress.org/teampcp-breachforums-supply-chain-attacks/