TeamPCP ndot kodin e hapur në masë të paprevueshme
GitHub, platforma më të njohur për kodin e hapur, është bërë viktimë e fundit e grupit kriminal cibernetik TeamPCP, i cili ka bërë një seri të gjatë sulmesh në zinxhirin e furnizimit të softuerit. Në mbrëmjen e së martës, një zhvillues i GitHub-it instaloi një shtesë “toksikuar” për redaktuesin VSCode – një mjet i përbashkët i programuesve që gjithashtu i takon Microsoft-it. Sipas deklaratës së GitHub-it, grupi ka hyrë në rreth 4 000 depo, ndërsa 3 800 prej tyre janë konfirmuar si të komprometuara, megjithatë të gjitha përmbajnë kodin e vetë GitHub-it dhe jo të klientëve të tij.
TeamPCP ka shitur këtë kod të komprometuara në forumin e kriminelëve BreachForums, duke pretenduar se ofron “kodin burimor dhe organizatat e brendshme të GitHub-it për shitje”. Grupi ka bërë të ditur se mund të dërgojë mostrat e kodit për të verifikuar autenticitetin, duke shprehur një qëllim të qartë për të fituar para nga vjedhja e informacionit. Kjo është vetëm një nga shumë sulme të ngjashme që grupi ka kryer në muajt e fundit; sipas kompanisë së sigurisë kibernetike Socket, TeamPCP ka realizuar 20 “valë” sulmesh në zinxhirin e furnizimit, duke infektuar mbi 500 komponentë të ndryshëm softuerësh dhe më shumë se një mijë versionë të tyre.
Sipas Ben Read, drejtues i inteligjencës strategjike të kërcënimeve në Wiz, këto infektime kanë lejuar grupin të depaktojë qindra kompani që përdorin softuerët e ndotur, përfshirë OpenAI dhe firmën e kontratave të të dhënave Mercor. “Mund të jetë sulmi më i madh në GitHub, por çdo incident është i rëndësishëm për kompaninë e prekur,” thotë Read, duke theksuar se nuk ka dallim thelbësor mes këtij sulmi dhe 14 të tjerë që ndodhën javën e kaluar.
Strategjia kryesore e TeamPCP përfshin shfrytëzimin e mjeteve të hapura që zhvilluesit përdorin për të ndërtuar aplikacione të reja. Grupi fut malware në shtesa si ajo për VSCode ose në platformën e vizualizimit të të dhënave AntV, e cila më pas përhapet në makinat e programuesve të tjerë. Përmes këtij malware-i, hakerët vjedhin kredenciale që u lejojnë të publikojnë versione të përfshira me kod të keq, duke krijuar një cikël të vazhdueshëm të komprometimit të zinxhirit të furnizimit.
Më së fundi, grupi ka automatizuar sulmet e tij me një gjarpër të vetëpërhapur të quajtur Mini Shai‑Hulud. Gjarpri krijon depo në GitHub që përmbajnë kredenciale të enkriptuara të vjedhura dhe një mesazh “A Mini Shai‑Hulud Has Appeared”, i cili i referohet romanit shkencor Dune dhe një gjarpri të mëparshëm Shai‑Hulud që shfaqej në shtator. Philipp Burckhardt nga Socket vëren se TeamPCP synon ekspozim të gjerë dhe “i pëlqen të bëjnë zhurmë për veten”. Një faqe në dark web, e lidhur me “kontakte biznesi” për negociatat e kërkesave, shfaqet me një dizajn “Matrix‑style”, një soundtrack reggae dhe sloganin “TEAMPCP: The Cats Hijacking Your Supply Chains”.
Grupi ka filluar aktivitetin e tij në fund të vitit 2025, duke shfrytëzuar gabime në konfigurimin e cloud‑eve dhe një dobësi në mjetin e zhvillimit të aplikacioneve web Next.js për të ndërtuar një botnet që vranë për vjedhje kredencialesh dhe minierë kriptomonedhash. Që nga ajo kohë, TeamPCP ka evoluar në një kërcënim sistematik, i cili tani përfshin një gamë të gjerë platformash dhe mjetesh të përdorura në zhvillimin e softuerit global.