Een nieuwe cybercampagne toont hoe snel aanvallen op de softwareketen zich ontwikkelen en hoe groot de impact kan zijn wanneer ontwikkelomgevingen worden misbruikt. Onderzoekers signaleren dat de relatief nieuwe groep TeamPCP in korte tijd is uitgegroeid tot een serieuze dreiging voor organisaties die werken met cloudplatforms en open source software.
De groep kwam volgens Ars Technica eind vorig jaar in beeld toen zij kwetsbare cloudomgevingen aanvielen met een worm die zich automatisch kon verspreiden. Het doel was vooral financieel. Geïnfecteerde systemen werden ingezet voor datadiefstal, ransomware en cryptomining. Daarbij viel de schaal en mate van automatisering op.
In de afgelopen weken is de campagne in een nieuwe fase beland. Onderzoekers zagen hoe TeamPCP toegang kreeg tot ontwikkeltools en softwareketens. Een belangrijk moment was het compromitteren van de veelgebruikte Trivy scanner, nadat aanvallers toegang kregen tot een GitHub-account van de ontwikkelaar. Daarmee werd kwaadaardige code via vertrouwde software verspreid.
Ook is malware opgedoken die zich verder verspreidt via npm. Zodra een systeem besmet raakt, zoekt de malware naar toegangstokens en gebruikt die om nieuwe versies van pakketten te publiceren met verborgen kwaadaardige code. Ontwikkelaars kunnen zo onbewust bijdragen aan verdere verspreiding wanneer zij besmette afhankelijkheden installeren. Dit proces kan zich snel uitbreiden naar andere projecten.
Op technisch vlak valt op dat de aanvallers hun infrastructuur anders beheren dan gebruikelijk. In plaats van traditionele command and control servers gebruiken zij een systeem gebaseerd op het Internet Computer Protocol. Hierdoor kunnen de locaties van servers voortdurend wisselen en blijven geïnfecteerde systemen contact houden met een dynamisch netwerk.
Gerichte aanval op systemen in Iran
Een opvallende ontwikkeling is de toevoeging van een vernietigende component die gericht is op systemen in Iran. Wanneer de malware detecteert dat een systeem zich in die regio bevindt of daarop is ingesteld, wordt geen data gestolen maar een mechanisme geactiveerd dat systemen onbruikbaar kan maken. De exacte impact is nog onduidelijk, maar het potentieel voor grootschalige schade is aanwezig.
De keuze voor een specifieke regio wijkt af van het eerdere gedrag van de groep, die vooral financieel gemotiveerd leek. Mogelijk speelt zichtbaarheid of politieke signalering inmiddels een rol. Duidelijk is dat de campagne zich snel blijft ontwikkelen.
Voor organisaties die afhankelijk zijn van CI/CD pipelines en open source componenten onderstreept dit het belang van strikte toegangscontrole en monitoring. Vooral tokens en geautomatiseerde publicatieprocessen vormen een risico wanneer ze niet goed zijn beveiligd. Eén zwakke plek kan voldoende zijn om een groot aantal systemen te besmetten.