Attacken auf Security-Tools und mehr: Über 1.000 Cloudumgebungen kompromittiert
Erst vor wenigen Tagen ist ein folgenschwerer Supply-Chain-Angriff auf das Github-Projekt des von Aqua Security entwickelten Schwachstellenscanners Trivy bekannt geworden. Wie The Register(öffnet im neuen Fenster) unter Verweis auf Angaben von Charles Carmakal, dem CTO der Cybersicherheitsfirma Mandiant, berichtet, sollen dadurch schon mindestens 1.000 Cloudumgebungen kompromittiert worden sein. Viele weitere könnten noch folgen.
"Wir wissen derzeit von über 1.000 betroffenen SaaS-Umgebungen, die aktiv mit diesem speziellen Angreifer zu kämpfen haben" , erklärte Carmakal. "Diese über 1.000 Opfer werden sich wahrscheinlich auf weitere 500, weitere 1.000, vielleicht sogar weitere 10.000 ausweiten" , so der CTO weiter.
Die unter dem Namen TeamPCP bekannten Angreifer sollen mit einer Reihe anderer Cyberakteure zusammenarbeiten. Einer davon soll die berüchtigte Hackergruppe Lapsus$ sein, die häufig auch mit Scattered Spider und Shinyhunters kooperiert . Zusammen hatten diese drei Akteure es zuletzt unter anderem auf Jaguar Land Rover und die Salesforce-Kundschaft abgesehen.
Weitere prominente Projekte betroffen
Ebenso wie bei früheren Aktivitäten von Lapsus$ sind in nächster Zeit weitere Attacken sowie zahlreiche Erpressungsversuche bei betroffenen Unternehmen zu erwarten. Laut Carmakal ist die Gruppe bekannt dafür, dabei "außerordentlich aggressiv vorzugehen" . TeamPCP scheint derweil bei dem Trivy-Hack noch lange nicht halt zu machen. Auch andere populäre Projekte sollen zuletzt kompromittiert worden sein.
Bei einem dieser Projekte handelt es sich um LiteLLM(öffnet im neuen Fenster) – eine quelloffene Python-Bibliothek, die in vielen Cloudumgebungen genutzt wird und als Schnittstelle für verschiedene große Sprachmodelle dient. Details zu dem Angriff sind unter anderem auf Github(öffnet im neuen Fenster) und in einem Blogbeitrag von Endorlabs(öffnet im neuen Fenster) zu finden. Demnach wird das LiteLLM-Paket jeden Monat mehr als 95 Millionen Mal heruntergeladen.
Weitere betroffene Projekte sind zwei Github Actions von der Cybersicherheitsfirma Checkmarx, namentlich ast-github-action und kics-github-action. Beide gehören zu Security-Tools, mit denen Softwareentwickler ihre Projekte auf mögliche Schwachstellen untersuchen können. Details zur Kompromittierung dieser Tools gibt es unter anderem bei Wiz(öffnet im neuen Fenster) und Checkmarx(öffnet im neuen Fenster) .
Angreifer sammeln Zugangsdaten und mehr
Bei all diesen Angriffen hat es TeamPCP vor allem auf Anmeldeinformationen und weitere vertrauliche Daten aus CI/CD-Pipelines und weiterer Infrastruktur von Softwareentwicklern abgesehen. Die Angreifer schleusen über die kompromittierten Tools eine Infostealer-Malware ein, die unter anderem SSH-Keys, Cloud-Zugangsdaten, Shell-Eingabeverläufe, Systemdateien und private Schlüssel für Kryptowallets ausleitet.
Wie Sicherheitsforscher von Socket in einem Blogbeitrag(öffnet im neuen Fenster) zeigen, hat sich TeamPCP kürzlich auf Telegram zu den Angriffen geäußert. "Diese Unternehmen wurden gegründet, um Ihre Lieferketten zu schützen, doch sie sind nicht einmal in der Lage, ihre eigenen zu sichern. Der Stand der modernen Sicherheitsforschung ist ein Witz" , schrieben die Angreifer dort.
Zudem signalisierte die Gruppe, ihre Aktivitäten fortsetzen zu wollen. "Wir werden noch lange Zeit dabei sein und gemeinsam mit unseren neuen Partnern Terabytes an Geschäftsgeheimnissen stehlen" , heißt es weiter auf Telegram. Auf X kursieren zudem Meldungen(öffnet im neuen Fenster) , laut denen TeamPCP bereits rund 300 GByte an komprimierten Daten sowie etwa 500.000 Zugangsdaten erbeutet haben soll(öffnet im neuen Fenster) . Die Socket-Forscher erwarten in nächster Zeit weitere folgenschwere Attacken auf Entwickler- und Sicherheitstools.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.