Muy recientemente les contamos sobre un malware conocido como PCPJack que al infectar un sistema de computación en la nube lo primero que hacía era eliminar el malware producido por el grupo criminal TeamPCP. Más allá de que eliminar a la competencia siempre es bueno, el detalle era curioso. Mucho se puede especular sobre los conflictos de fondo. Pero lo cierto es que ahora podemos agregar otro detalle curioso. Al parecer TeamPCP, o alguien con acceso a su software, ha publicado el código de su gusano Shai-Hulud en GitHub.
Si eres un aficionado a la ciencia ficción posiblemente reconozcas el nombre como una referencia al gusano gigante que recorre el desierto en la saga Dune, de Frank Herbert.
Difusión y multiplicación
La firma de seguridad Ox advirtió dos repositorios en los que apareció el código con un mismo mensaje. Se señala que el software fue producido a través de la técnicas de vibe coding. Los autores instan a comprobar su funcionamiento. Aparece la firma TeamPCP.
Ya se han descubierto varias instancias derivadas del original (forks). En pocas horas había más de una treintena. Esto no solo supone la difusión, sino también la producción de variantes. Ox examinó el código fuente y determinó que el malware tendría el mismo comportamiento que el observado en ataques producidos con Shai-Hulud.
Una decisión extraña
Aunque los criminales informáticos a menudos venden sus creaciones, resulta raro que TeamPCP haya decidido ubicar el gusano en el terreno del código abierto. El software ha sido publicado con la licencia MIT, que les permite el re uso de cualquier derivado.
También es extraño que Microsoft se tome su tiempo para eliminar estas publicaciones. Al momento de escribir este artículo todavía existían proyectos derivados.
