Um grupo hacker chamado TeamPCP está realizando uma das maiores ondas de ataques contra softwares open source já registradas. Segundo pesquisadores de segurança, os criminosos já comprometeram centenas de ferramentas utilizadas por desenvolvedores e conseguiram atingir até mesmo o GitHub.
Os ataques utilizam uma técnica conhecida como “supply chain attack”, onde hackers inserem código malicioso dentro de softwares aparentemente legítimos.
Na prática, isso transforma programas confiáveis em portas de entrada para invasões em empresas e computadores de desenvolvedores.
GitHub foi uma das vítimas do grupo
Recentemente, o GitHub confirmou que sofreu um incidente envolvendo um plugin malicioso do VSCode.
Segundo os relatos, um desenvolvedor da plataforma instalou uma extensão contaminada, permitindo acesso dos criminosos a milhares de repositórios internos.
O TeamPCP afirma ter conseguido acessar cerca de 4 mil repositórios de código da empresa.
O que é um ataque de supply chain?
Em ataques de supply chain, os criminosos comprometem ferramentas amplamente utilizadas por desenvolvedores para espalhar malware de forma indireta.
Ao instalar uma atualização aparentemente legítima, a vítima acaba infectando seu próprio sistema.
Esse tipo de ataque se tornou extremamente perigoso porque explora a confiança existente em softwares conhecidos.
Mais de 500 softwares já foram contaminados
Segundo empresas de cibersegurança, o TeamPCP já realizou dezenas de ondas de ataques nos últimos meses.
Os pesquisadores afirmam que mais de 500 softwares diferentes foram comprometidos pelo grupo.
Considerando todas as versões infectadas, o número total ultrapassa facilmente mil variantes maliciosas.
Grupo usa malware autorreplicante
Uma das características mais preocupantes do TeamPCP é o uso de um worm chamado “Mini Shai-Hulud”.
Esse malware consegue se espalhar automaticamente utilizando credenciais roubadas de desenvolvedores.
O nome faz referência aos vermes gigantes da franquia de ficção científica Duna.
Hackers estão roubando tokens e credenciais
O principal objetivo do grupo é roubar credenciais de acesso, tokens de autenticação e permissões administrativas.
Com isso, os criminosos conseguem publicar versões contaminadas de softwares populares utilizados por milhares de empresas.
Esse efeito em cadeia vem tornando os ataques extremamente difíceis de conter.
OpenAI, Mercor e outras empresas também foram afetadas
Além do GitHub, outras empresas importantes também apareceram entre as vítimas do TeamPCP.
Relatórios citam incidentes envolvendo OpenAI, Mercor, Checkmarx, Mistral AI e até sistemas ligados à Comissão Europeia.
Segundo especialistas, a velocidade de propagação dos ataques lembra uma epidemia digital.
Atualizações automáticas podem aumentar riscos
Pesquisadores alertam que atualizações automáticas de softwares open source podem facilitar infecções em larga escala.
Em alguns casos recentes, empresas instalaram versões comprometidas poucos minutos após sua publicação.
Especialistas recomendam implementar períodos de verificação antes de aplicar novas atualizações em ambientes críticos.
Como empresas podem se proteger?
Especialistas recomendam diversas medidas para reduzir os riscos de ataques desse tipo.
- Rotacionar tokens e credenciais regularmente
- Limitar permissões de acesso
- Desativar atualizações automáticas críticas
- Analisar softwares antes da instalação
- Monitorar atividades suspeitas em repositórios
Segundo pesquisadores, depois que o malware chega ao computador da vítima, muitas vezes já é tarde demais para impedir o comprometimento.