✨︎ Resumen (TL;DR):
- El grupo TeamPCP vulneró los repositorios de Trivy, Checkmarx y la librería LiteLLM.
- Los atacantes alteraron 75 de 76 etiquetas de versión en GitHub, afectando a más de 10,000 flujos de trabajo.
- El malware robó credenciales y tokens, expandiendo el ataque mediante Kubernetes y la red npm.
El grupo de amenazas TeamPCP ejecutó uno de los ataques de cadena de suministro CI/CD más graves registrados. La campaña inició el 19 de marzo cuando los atacantes explotaron credenciales no revocadas tras una brecha previa en Aqua Security ocurrida el 1 de marzo.
Utilizando este acceso residual, el actor de amenazas inyectó un ladrón de credenciales en el repositorio trivy-action de GitHub. Esta acción comprometió de forma silenciosa cualquier pipeline de CI/CD que hiciera referencia a las versiones alteradas de la herramienta.
Trivy es un escáner de vulnerabilidades que analiza contenedores y repositorios en busca de fallos de seguridad. La carga maliciosa se ejecutaba antes del análisis legítimo, por lo que los resultados de las canalizaciones parecían completamente normales.
StepSecurity confirmó que las etiquetas envenenadas estuvieron activas durante aproximadamente 12 horas. Durante este periodo, se registraron conexiones salientes hacia servidores de comando y control en 12,000 repositorios públicos.
Expansión del ataque: LiteLLM y npm
El malware implementó una extracción exhaustiva de datos, volcando la memoria del proceso Runner.Worker de GitHub para capturar secretos.
Las características del robo de información incluyeron:
- Búsqueda en más de 50 rutas de sistema para robar claves SSH, credenciales de AWS, GCP y Azure, tokens de Kubernetes, configuraciones de Docker y billeteras de criptomonedas.
- Encriptación de los datos robados utilizando algoritmos AES-256 y RSA-4096.
- Creación de un repositorio público en la propia cuenta de GitHub de la víctima como método alternativo para extraer los datos, burlando los firewalls corporativos.
Para el 23 de marzo, las credenciales robadas facilitaron el compromiso de dos flujos de trabajo de GitHub Actions de Checkmarx y extensiones de VS Code en OpenVSX. Ese mismo día, la empresa Endor Labs reportó la infiltración en PyPI de dos versiones maliciosas de LiteLLM.
LiteLLM es una biblioteca de Python que funciona como proxy para APIs de grandes modelos de lenguaje y registra 95 millones de descargas mensuales. BleepingComputer reportó que la versión 1.82.8 utilizó un archivo .pth para asegurar la ejecución del malware cada vez que iniciaba el intérprete de Python.
El código malicioso también intentó el movimiento lateral en entornos Kubernetes, instalando una puerta trasera de systemd oculta bajo el nombre “System Telemetry Service”.
Además, los atacantes desplegaron un gusano bautizado como “CanisterWorm”. Esta herramienta autenticó registros de npm y publicó parches infectados en más de 66 paquetes, utilizando infraestructura descentralizada sobre contenedores del Internet Computer Protocol.
Para el 24 de marzo, Aqua Security confirmó “actividad sospechosa adicional”, demostrando que los atacantes mantenían nivel de acceso. Por su parte, Checkmarx declaró que “no tiene conocimiento de ningún impacto en los datos de los clientes o en los entornos de producción”.
Fuentes indicaron a BleepingComputer que la cantidad de extracciones de datos alcanzó aproximadamente 500,000 operaciones, aunque muchas resultaron ser duplicadas.
Las firmas de seguridad exigen a las organizaciones fijar las acciones de GitHub a los SHA de confirmación completos en lugar de utilizar etiquetas de versión mutables, además de rotar todos los secretos expuestos en los servidores CI durante las ventanas de ataque.
