La competició ha estat orquestrada per TeamPCP en col·laboració amb els operadors de BreachForums i ofereix 1.000 dòlars al guanyador.

Una nova campanya de ciberdelinqüència està generant preocupació a la comunitat de ciberseguretat en convertir els atacs a la cadena de subministrament de programari en una mena de competició pública. 

El grup de pirates informàtics conegut com a TeamPCP, en col·laboració amb operadors del conegut fòrum BreachForums, ha llançat un concurs que ofereix una suma econòmica als que aconsegueixin comprometre paquets de codi obert. És com els clàssics programes de ‘bug bounty’, però al costat dolent del hackeig.

Per trobar les bretxes els participants han de fer servir una eina anomenada Shai-Hulud i, posteriorment, enviar una prova d’accés juntament amb la seva identitat al fòrum. 

L’incentiu econòmic no és l’únic atractiu. El guanyador rep 1.000 dòlars en la criptomoneda Monero, a més de reputació dins de la comunitat dels ciberdelinqüents. Aquest sistema de gamificació cerca fomentar la participació i elevar l’estatus dels atacants dins l’ecosistema de la ciberdelinqüència.

Una ‘Lliga Fantàstica’ dels ciberdelinqüents

Un dels aspectes més preocupants del concurs és el sistema de puntuació. Els objectius més utilitzats –mesurats per descàrregues setmanals o mensuals– atorguen més punts si són compromesos. Això converteix biblioteques molt populars en dianes prioritàries i amplifica l’impacte potencial dels atacs en cadena.

A més, la competició permet acumular punts addicionals mitjançant múltiples compromisos de menys impacte. Això obre la porta a una estratègia més “industrial”, perquè no cal un únic cop gran, sinó que diversos accessos parcials o vulneracions menors poden sumar prou per escalar a la classificació.

L’eina utilitzada en el concurs, Shai-Hulud, hauria estat distribuïda públicament com a programari maliciós dins de la infraestructura associada a BreachForums, i fins i tot va arribar a aparèixer breument a GitHub abans de ser eliminada. La publicació redueix significativament la barrera tècnica per participar en aquest tipus d’atacs.

Els experts adverteixen que aquesta mena d’iniciatives no només busquen el premi econòmic. També funcionen com a mecanismes de reclutament i visibilitat dins del món dels actors d’amenaces, atrauen hackers de barret negre amb menys nivell tècnic a canvi de reconeixement i accés a objectius d’alt valor.

Un cop compromesa una cadena de subministrament, els atacants poden accedir a credencials, tokens d’accés, secrets d’integració contínua (CI/CD) o entorns al núvol, informació que es pot vendre posteriorment a grups de programari de segrest o altres intermediaris. Així, el valor real d’aquests accessos pot superar àmpliament els 1.000 dòlars del premi inicial.

Les campanyes atribuïdes a TeamPCP s’han vinculat prèviament a sectors com ara intel·ligència artificial, manufactura, serveis financers i entorns governamentals al núvol. A més, també se’ls vincula amb altres bandes com ara Lapsus$.