Die Hackerbande TeamPCP baut ihre Operationen aus. Die Gruppe wurde über die letzten Monate mit Supply-Chain-Attacken auf diverse Entwicklerpakete in Verbindung gebracht. Jetzt kündigte ein Eigentümer von Breachforums einen Wettbewerb um Supply-Chain-Angriffe in Kollaboration mit TeamPCP an. Die Initiatoren meinen, es handle sich um den ersten Wettbewerb dieser Art.
Für den Wettbewerb stellte TeamPCP den Shai-Hulud-Wurm öffentlich auf dem Content Delivery Network von Breachforums bereit. Auch auf Github war der Code kurzweilig verfügbar, wie Sicherheitsforschende von
Datadog berichten. Das Team von Datadog konnte den Code einsehen, der in einer Pipeline organisiert ist. Die Schritte der Pipeline entsprechen der Methodik aus
vorherigen Angriffen.
Laut Forumspost ist der Wettbewerb wie ein Hackathon organisiert: Teilnehmende müssen ihre Einreichungen mit ihrem Forum-Namen teilen. Sie müssen nachweisen, dass sie mit dem Shai-Hulud-Wurm Pakete infizieren und Zugangsdaten ergattern konnten. Um den Preis zu gewinnen, zählen die Anzahl wöchentlicher und monatlicher Downloads der attackierten Pakete. Auch mehrere Kompromittierungen von kleineren Paketen werden zum Gesamtergebnis gezählt.
Als Preis sollen 1000 US-Dollar in der Kryptowährung Monero ausgezahlt werden. Die ergatterten Zugangsdaten seien aber im Vergleich viel mehr wert, schreiben Sicherheitsforschende von
Socket. Der Wettbewerb sei für Security-Verantwortliche eine zusätzliche Belastung.
Auch Mistral betroffen
Kürzlich wurde auch die französische Firma Mistral AI von TeamPCP angegriffen. Auf Breachforums gab die Gruppe an, rund 5 Gigabyte an Daten erbeutet zu haben, darunter Quellcode für Training, Finetuning, Evaluation und Bereitstellung von Modellen. Die Gruppe fordert 25'000 US-Dollar für die gestohlenen Daten, andernfalls würden sie veröffentlicht.
Mistral AI bestätigte gegenüber '
Bleeping Computer' den Fall. Das Gerät eines Mitarbeitenden sei von der Supply-Chain-Attacke betroffen gewesen. Die Daten seien aber weder Teil des Kerncodes, noch seien gehostete Dienste, Nutzerdaten oder Entwicklerumgebungen kompromittiert worden.