Grupo comprometeu aplicações utilizadas por programadores para roubar credenciais e infiltrar redes empresariais
Autoridades norte-americanas recomendam revisão urgente das cadeias de desenvolvimento e rotação de credenciais
O FBI emitiu um alerta de cibersegurança sobre uma campanha do grupo TeamPCP, que tem vindo a comprometer ferramentas amplamente utilizadas por programadores e equipas de desenvolvimento de software para roubar credenciais, instalar malware e obter acesso a infra-estruturas empresariais.
Segundo o alerta, o grupo recorre a ataques à cadeia de fornecimento de software, modificando pacotes legítimos e distribuindo versões adulteradas através de canais considerados fiáveis. Quando instaladas, estas aplicações permitem aos atacantes recolher credenciais de acesso à nuvem, chaves SSH, chaves de programação (API), segredos do Kubernetes e outras informações sensíveis.
Entre as ferramentas afectadas encontram-se aplicações populares como Trivy, KICS, LiteLLM e o kit de desenvolvimento Python da Telnyx, amplamente utilizadas em ambientes de desenvolvimento, análise de vulnerabilidades e gestão de infra-estruturas na nuvem. O FBI refere que os atacantes alteraram componentes de software e dependências para distribuir actualizações trojanizadas que aparentavam ser legítimas.
De acordo com as autoridades norte-americanas, o TeamPCP utiliza posteriormente o acesso obtido para se movimentar dentro das redes das vítimas, exfiltrar dados confidenciais e, em alguns casos, extorquir organizações, ameaçando divulgar publicamente a informação roubada caso não sejam efectuados pagamentos.
O FBI identifica ainda várias famílias de malware associadas ao grupo, incluindo CanisterWorm, SANDCLOCK, Mini Shai-Hulud e Miasma. Estas ferramentas foram concebidas para recolher credenciais de serviços em nuvem, variáveis de ambiente, carteiras de criptomoedas e outros activos digitais, além de propagarem automaticamente o ataque para novos repositórios de software.
As autoridades recomendam às organizações que utilizam sistemas de integração e entrega contínua (CI/CD) a adopção de medidas imediatas, incluindo a rotação de todas as credenciais potencialmente comprometidas, a utilização de autenticação multifactor resistente a ataques de phishing, a verificação da integridade dos pacotes instalados e a limitação das permissões concedidas a contas de serviço e processos automatizados. Também aconselham a utilização de versões fixas de dependências, em vez de referências dinâmicas que possam ser alteradas pelos atacantes.
Especialistas em cibersegurança consideram que o TeamPCP se tornou um dos grupos mais activos na exploração de cadeias de fornecimento de software. Nos últimos meses, a organização esteve ligada a múltiplas campanhas que comprometeram centenas de pacotes de código aberto e afectaram organizações em diversos sectores, evidenciando o crescente risco associado às dependências utilizadas no desenvolvimento moderno de aplicações.




