Um grupo de piratas informáticos conseguiu aceder à máquina de um programador do GitHub através de uma extensão maliciosa do Visual Studio Code. A partir desse ponto de entrada, os atacantes usaram as credenciais roubadas para entrar na infra-estrutura interna da plataforma e copiar milhares de repositórios. O que parecia ser apenas mais uma ferramenta de rotina para programadores transformou-se no ponto de partida para um incidente de segurança de grandes proporções.
A empresa confirmou o acesso a cerca de 3800 repositórios internos, sublinhando que estes contêm apenas código próprio e não projectos de clientes. No entanto, o grupo responsável, que dá pelo nome de TeamPCP, afirma ter na sua posse perto de 4000 repositórios e já os colocou à venda. “Estamos aqui hoje para anunciar a venda do código-fonte e organizações internas do GitHub”, escreveu o grupo no BreachForums, citado pelo site TechSpot.
O perigo das cadeias de fornecimento de software
Para as equipas de segurança, este caso é apenas o exemplo mais visível de uma campanha que se desenrola há vários meses. A empresa de segurança Socket estima que o TeamPCP já lançou cerca de 20 vagas de ataques e adulterou mais de 500 ferramentas e pacotes distintos. Numa altura em que o GitHub Copilot usa código dos programadores para treinar a sua Inteligência Artificial, a integridade do ecossistema de desenvolvimento torna-se ainda mais crítica.
A mecânica do ataque é simples, mas altamente eficaz. Os piratas informáticos comprometem um componente popular, como uma extensão ou uma biblioteca de visualização de dados. Quando o programador instala ou actualiza a ferramenta, o malware é executado no sistema para roubar dados sensíveis, como chaves de API e credenciais de nuvem. Muitas vezes, basta um simples acesso através do browser a um ambiente de desenvolvimento mal configurado para agravar a exposição dos dados.
A ameaça do Mini Shai-Hulud
Como avança a Wired, Ben Read, líder de inteligência de ameaças na Wiz, descreve o processo como um ciclo que se perpetua a si mesmo, sendo uma forma extremamente bem-sucedida de aceder a redes empresariais. Recentemente, o grupo automatizou grande parte da operação através de um componente apelidado de Mini Shai-Hulud, capaz de se propagar de forma autónoma. O malware cria novos repositórios no GitHub para guardar as credenciais encriptadas e marca-os com referências ao universo Dune.
Venda única ou divulgação pública
As campanhas do grupo já afectaram empresas de Inteligência Artificial, fornecedores de segurança e instituições públicas, incluindo a OpenAI, a Mistral AI e o site público da Comissão Europeia. No caso específico do GitHub, o TeamPCP não procura um resgate directo. O grupo declarou que pretende fazer uma venda única e, caso não encontre comprador, ameaça divulgar os dados de forma gratuita.
Segundo o site TechSpot, Nathaniel Quist, da Palo Alto Networks, aconselha as empresas a começarem pelo básico. É fundamental reduzir o tempo de vida das credenciais, limitar os acessos e rodar as chaves de segurança de forma agressiva para mitigar este tipo de ameaças, uma vez que os atacantes estão a explorar activamente estas falhas de configuração.
