Lajme

Grupi hacker TeamPCP ndot kodin e burimit të hapur në shkallë të paprevueshme

GitHub, platforma më e njohur për kodin e burimit të hapur, është bërë viktimë e fundit e grupit kriminal cibernetik TeamPCP, i cili ka bërë një seri të gjatë sulmesh në zinxhirin e furnizimit të softuerit. Sulmi i fundit ndodhi kur një zhvillues i GitHub instaloi një shtesë “e helmueshme” për redaktuesin VSCode – një mjet i përdorur gjerësisht dhe në pronësi të Microsoft-it. Sipas deklaratës së GitHub, rreth 4 000 depozita të kodit janë hyrë nga grupi, ndërsa 3 800 prej tyre janë komprometuara, por të gjitha përmbajnë kodin e brendshëm të GitHub-it, jo të klientëve të tij.

TeamPCP ka shitur këtë kod të komprometuar në forumin e kriminelëve BreachForums, duke pretenduar se ofron “burimin e kodit dhe organizatat e brendshme të GitHub për shitje”. Kjo është vetëm pjesa e fundit e një kampanje që zgjat disa muaj, e cila sipas kompanisë së sigurisë kibernetike Socket përfshin 20 “valë” sulmesh në zinxhirin e furnizimit, duke infektuar mbi 500 komponentë të ndryshëm softuerësh – ose më shumë se një mijë versionë të ndryshme – me malware. Disa nga viktimat e mëparshme përfshijnë kompanitë AI OpenAI dhe firmën e kontratave të të dhënave Mercor, dhe sipas Ben Read, kreu i inteligjencës strategjike të kërcënimeve në Wiz, “çdo njëri prej këtyre sulmeve është një ngjarje e madhe për kompaninë e prekur”.

Metoda bazë e TeamPCP është një cikël i vazhdueshëm i shfrytëzimit të zhvilluesve të softuerit: grupi merr kontroll mbi rrjetet ku zhvillohen mjete të hapura si shtesa për VSCode ose platforma vizualizimi të të dhënave AntV, fut malware në to, dhe më pas e shpërndan në makinat e programuesve të tjerë. Kjo i lejon të vjedhin kredenciale, të publikojnë versione të përfshira me kod keqbërës dhe të vazhdojnë të përhapin infeksionin. Në kohët e fundit, grupi ka automatizuar sulmet me një gjarpër të vetëpërhapur të quajtur “Mini Shai‑Hulud”, i cili krijon depozita në GitHub me kredenciale të kriptuara dhe mesazhe që i referohen romanit shkencor Dune.

Sipas Philipp Burckhardt, drejtues i kërkimit në Socket, TeamPCP synon ekspozim të gjerë dhe “i pëlqen të bëjë zhurmë për veten”. Një faqe në dark web, e lidhur me “kontaktet e biznesit” për negociatat e kërkesave, shfaq grafikë binare, një soundtrack reggae‑fusion dhe sloganin “TEAMPCP: The Cats Hijacking Your Supply Chains”. Grupi shfaqet për herë të parë në fund të vitit 2025, duke shfrytëzuar gabime konfigurimi në cloud dhe një dobësi në mjetin Next.js për të ndërtuar një botnet që kryente vjedhje kredencialesh dhe minierë kriptomonedash.