Un grupo hacker identificado como TeamPCP ha escalar su ofensiva contra el ecosistema del codigo abierto de una forma que los investigadores califican de inedito. GitHub es solo la ultima victima de una banda que ha pasado meses infiltrandose en plataformas de desarrollo, redes de distribucion de paquetes y servicios de integracion continua.

La tecnica utilizada recibe el nombre de envenenamiento de dependencias. Un desarrollador que instalo una extension maliciosa para su entorno de desarrollo permitio que el codigo de TeamPCP se ejecutara con sus propios privilegios. A partir de ahi, los atacantes accedieron a repositorios privados, tokens de API y datos organizacionales sensibles.

El mensaje dejado por TeamPCP en BreachForums, un conocido foro y mercado de ciberdelincuentes, no dejaba lugar a dudas. Estamos aqui hoy para anunciar que el codigo fuente de GitHub y sus organizaciones internas estan a la venta, escribieron. El post incluyo enlaces a muestras de los datos robados como prueba de la magnitud del robo.

Este tipo de ataque a la cadena de suministro de software ha provocado una alerta general entre los principales proyectos de codigo abierto. Mantenedores de paquetes ampliamente utilizados en npm, PyPI y otros repositorios han comenzado a revisar sus cadenas de dependencias ante la posibilidad de que TeamPCP haya comprometido otros puntos de distribucion similares.