TeamPCP, ein Akteur hinter einer Reihe von Angriffen auf die Software-Lieferkette von Open-Source-Paketen, bot den GitHub-Quellcode laut Screenshots von Dark Web Informer für mindestens 50.000 US-Dollar an. Der angebliche Datensatz soll rund 4.000 Repositories umfassen. In einem Forenbeitrag schrieb die Gruppe, es handele sich ausdrücklich nicht um eine Lösegeldforderung: Man wolle GitHub nicht erpressen, suche einen einzigen Käufer und vernichte die Daten anschließend; finde sich kein Käufer, werde man sie kostenlos veröffentlichen.
GitHub nannte den Namen der manipulierten VS-Code-Erweiterung nicht. Bemerkenswert ist jedoch, dass kürzlich Nx Console kompromittiert wurde, wodurch Angreifer einen mehrstufigen Zugangsdaten-Dieb und ein Werkzeug zur Lieferketten-Vergiftung einschleusen konnten. Das Nx-Team erklärte später, nur „sehr wenige Nutzer" seien betroffen gewesen. Ein mit TeamPCP verknüpftes X-Konto, xploitrsturtle2, behauptete, GitHub habe stundenlang Bescheid gewusst und die Information verzögert.
Parallel zu dem Verkaufsangebot weitet sich TeamPCPs selbstverbreitende Schadsoftware Mini Shai-Hulud weiter aus. Betroffen ist nun durabletask, ein offizieller Microsoft-Python-Client für das Workflow-Framework Durable Task. Identifiziert wurden drei bösartige Paketversionen: 1.4.1, 1.4.2 und 1.4.3. Laut dem zu Google gehörenden Anbieter Wiz kompromittierte der Angreifer ein GitHub-Konto über einen früheren Angriff, griff Geheimnisse aus einem zugänglichen Repository ab und gelangte so an das PyPi-Token, um direkt zu veröffentlichen.
Die im Paket eingebettete Nutzlast ist ein Dropper, der eine zweite Stufe namens „rope.pyz" von einem externen Server („check.git-service[.]com") nachlädt. Die Schadsoftware gilt als Weiterentwicklung der Nutzlast aus der kürzlichen Kompromittierung des Pakets guardrails-ai. Sie aktiviert einen Infostealer, der Zugangsdaten großer Cloud-Anbieter, von Passwortmanagern und Entwicklerwerkzeugen sammelt – ausgeführt wird er nur auf Linux-Systemen.
Nach Angaben von SafeDep versucht der 28 KB große Python-Stealer zudem, HashiCorp-Vault-KV-Geheimnisse zu lesen, 1Password- und Bitwarden-Tresore zu entsperren und auszulesen sowie SSH-Schlüssel, Docker-Zugangsdaten, VPN-Konfigurationen und den Shell-Verlauf abzugreifen. Aikido Security zufolge verbreitet sich der Schädling in AWS-Umgebungen über SSM auf andere EC2-Instanzen, in Kubernetes über kubectl exec; erkennt er israelische oder iranische Systemeinstellungen, spielt er mit einer Wahrscheinlichkeit von eins zu sechs eine Audiodatei ab und führt anschließend „rm -rf /*" aus.
Laut StepSecurity nutzt der Schädling nach der Aufzählung SSM-verwalteter Instanzen den Befehl SendCommand mit dem Dokument AWS-RunShellScript, um die Nutzlast auf bis zu fünf weiteren EC2-Instanzen pro Profil auszuführen; als Ausweichserver dient t.m-kosche[.]com. Über den FIRESCALE-Mechanismus sucht die Malware zudem in öffentlichen GitHub-Commit-Nachrichten nach einer Backup-C2-Adresse – eine Technik, die zuvor von Hunt.io beschrieben wurde.
Da sich der Wurm mit Token aus infizierten Umgebungen weiterverbreitet, dürfte die Zahl betroffener Pakete steigen; jede Maschine oder Pipeline, die eine betroffene Version installiert hat, sollte als vollständig kompromittiert gelten. Das Paket werde laut Endor-Labs-Forscher Peyton Kennedy etwa 417.000 Mal pro Monat heruntergeladen, und der Schadcode laufe automatisch beim Import – ohne Fehlermeldung und ohne sichtbare Anzeichen.
