Les attaques dites de supply chain, qui consistent à corrompre un logiciel légitime pour y dissimuler du code malveillant, étaient jusqu’ici des événements rares mais redoutés. Un groupe criminel baptisé TeamPCP est en train de transformer cette menace sporadique en phénomène quasi hebdomadaire.
En quelques mois seulement, ce collectif a compromis des centaines d’outils open source utilisés dans la création de logiciels à travers le monde. L’ampleur et la régularité de ses opérations n’ont pas de précédent connu dans ce domaine.
A lire aussi
- Pourquoi la fonction de sécurité du Pixel rend la conduite plus dangereuse
- Pourquoi Intel a perdu ses meilleurs ingénieurs avant même de les recruter
GitHub touché, des milliers de dépôts compromis
Dans la nuit de mardi, la plateforme GitHub a confirmé avoir été victime d’une attaque de ce type. Un développeur de l’entreprise avait installé une extension corrompue pour VSCode, un éditeur de code largement répandu appartenant, comme GitHub, à Microsoft.
TeamPCP affirme avoir eu accès à environ 4 000 dépôts de code de GitHub. L’entreprise, de son côté, a confirmé la compromission d’au moins 3 800 dépôts. Elle précise que, selon ses investigations actuelles, ceux-ci contiennent uniquement du code interne à GitHub et non des données appartenant à ses clients.
Sur BreachForums, un forum fréquenté par des cybercriminels, le groupe a annoncé mettre en vente le code source et les organisations internes de GitHub, proposant des échantillons pour en vérifier l’authenticité auprès d’acheteurs potentiels.
Une cadence d’attaques sans équivalent
L’incident GitHub s’inscrit dans une série bien plus longue. La société de cybersécurité Socket, spécialisée dans la sécurité des chaînes d’approvisionnement logicielles, a recensé 20 vagues d’attaques distinctes menées par TeamPCP sur les derniers mois.
Au total, le groupe aurait infecté plus de 500 logiciels open source différents. En comptant les multiples versions de chaque outil compromis, le chiffre dépasse le millier. Cette accumulation est inédite : aucune campagne de ce type n’avait jusqu’ici atteint une telle échelle en si peu de temps.
Le mode opératoire associe deux objectifs. D’un côté, disséminer des logiciels malveillants dans des outils de développement largement adoptés. De l’autre, extorquer des victimes pour en tirer des profits financiers directs.
Une menace systémique pour l’écosystème logiciel
Ce qui rend TeamPCP particulièrement préoccupant, c’est la nature même de sa cible. L’open source constitue le socle sur lequel repose une part considérable des logiciels commerciaux, des applications web et des infrastructures numériques. Corrompre ces briques de base revient à fragiliser potentiellement tout ce qui est construit par-dessus.
Chaque nouvelle vague d’attaques alimente un climat de méfiance croissant parmi les développeurs. Vérifier l’intégrité des dépendances logicielles, déjà complexe, devient une contrainte permanente et difficile à assumer pour les équipes de taille modeste.
Un risque difficile à contenir
Les attaques de type supply chain sont particulièrement difficiles à détecter. Le code malveillant se dissimule dans des composants que les développeurs intègrent en leur accordant une confiance implicite. Le vecteur utilisé lors de la compromission de GitHub, une extension pour éditeur de code, illustre à quel point les points d’entrée peuvent être discrets.
La série d’opérations de TeamPCP marque une rupture dans l’histoire de ce type de menace. Ce qui était autrefois un risque exceptionnel est devenu une réalité récurrente, sans signe d’essoufflement visible à ce stade.
Source : Ars Technica
