Кампанія атак на ланцюги постачання програмного забезпечення TeamPCP, вперше детально описана у звіті SANS ISC «Коли сканер безпеки став зброєю» (When the Security Scanner Became the Weapon), продовжує розвиватися. Це перше оновлення охоплює події з моменту публікації початкового звіту. Кампанія, що почалася 28 лютого з початкового доступу та включала компрометацію PyPI-пакета LiteLLM 24 березня, демонструє зростаючу загрозу для розробників та організацій.
Ключові моменти оновлення включають розширення відомого впливу на інструменти безпеки, зокрема Checkmarx, внесення відповідного запису до каталогу відомих експлуатованих вразливостей (KEV) CISA, а також доступність нових інструментів для виявлення компрометації.
Оновлення підкреслює, що масштаби впливу кампанії TeamPCP на інструменти безпеки, такі як Checkmarx, виявилися значно ширшими, ніж повідомлялося раніше. Це вказує на потенційно глибше проникнення зловмисників у критичні компоненти розробки та аналізу безпеки. Компрометація PyPI-пакета LiteLLM є яскравим прикладом використання популярних репозиторіїв для поширення шкідливого коду, що дозволяє атакувальникам інфікувати численні проєкти та системи, які використовують ці залежності.
Включення інформації про цю кампанію до каталогу CISA KEV (Known Exploited Vulnerabilities) свідчить про її високу серйозність та активну експлуатацію в реальних умовах. Це означає, що федеральні агентства США зобов'язані усунути відповідні вразливості у своїх системах, що підкреслює критичність цієї загрози для всіх організацій.
Загроза від кампанії TeamPCP є значною для широкого кола організацій, зокрема:
- Розробникам програмного забезпечення: Особливо тим, хто використовує пакети з репозиторіїв, таких як PyPI, і залежить від сторонніх бібліотек.
- Організаціям, що використовують інструменти аналізу безпеки: Якщо їхні інструменти, подібні до Checkmarx, могли бути скомпрометовані або використані в рамках кампанії.
- Будь-яким компаніям, що мають складні ланцюги постачання ПЗ: Атаки на ланцюги постачання є одними з найнебезпечніших, оскільки компрометація одного компонента може призвести до широкомасштабного зараження.
- Урядовим та критичним інфраструктурним організаціям: Через високий рівень загрози, що підтверджується включенням до CISA KEV.
Для мінімізації ризиків та захисту від кампанії TeamPCP та подібних атак на ланцюги постачання, Cyber Index UA рекомендує наступні кроки:
- Негайне оновлення та перевірка залежностей: Переконайтеся, що всі використовувані сторонні бібліотеки та пакети оновлені до останніх безпечних версій. Проведіть аудит залежностей на наявність відомих скомпрометованих версій.
- Використання інструментів виявлення: Застосовуйте доступні інструменти для сканування ваших систем та кодових баз на наявність індикаторів компрометації, пов'язаних з TeamPCP.
- Моніторинг CISA KEV: Регулярно перевіряйте каталог CISA KEV та інші джерела розвідки загроз на наявність нових вразливостей, що активно експлуатуються.
- Посилення безпеки ланцюга постачання: Впроваджуйте суворі політики щодо перевірки та валідації всіх компонентів програмного забезпечення, що використовуються у вашому розробницькому процесі.
- Сегментація та принцип найменших привілеїв: Обмежте доступ до критичних систем та даних, використовуючи сегментацію мережі та принцип найменших привілеїв.