一个名为 TeamPCP 的网络犯罪团伙正以前所未有的规模污染开源软件生态。他们通过篡改开发者工具发起供应链攻击,并利用自动化蠕虫进行传播,不断窃取凭证以扩大攻击范围。最近,该团伙通过一个被感染的 VSCode 扩展入侵了 GitHub,声称窃取了数千个代码仓库。专家警告,企业和开发者必须采取紧急措施,如定期轮换访问令牌和谨慎审查开源更新,以应对这种愈演愈烈的威胁。
软件供应链攻击的常态化
曾经罕见的软件供应链攻击,现在几乎每周都在发生。攻击者将恶意代码植入合法的软件中,将其变成进入受害者网络的“特洛伊木马”。一个名为 TeamPCP 的黑客组织将这一噩梦变为常态,污染了数百个开源工具,以此进行勒索并破坏了整个软件开发生态的信任。
- 最新受害者: GitHub 平台因一名开发者安装了被篡改的 VSCode 扩展而遭到入侵。
- 攻击者声明: TeamPCP 声称访问了约 4,000 个 GitHub 的内部代码仓库,并已在黑客论坛上公开出售。
- 官方确认: GitHub 证实了入侵事件,但指出受影响的仓库仅包含其自身代码,而非客户代码。
这起事件只是有史以来持续时间最长的软件供应链攻击狂潮中的最新一起,而且目前仍看不到结束的迹象。
自我复制的攻击循环
TeamPCP 的核心策略是利用开发者生态系统进行循环攻击,形成一个自我强化的恶性循环。
- 初始入侵: 攻击者首先入侵一个被开发者广泛使用的开源工具网络,例如导致 GitHub 被黑的 VSCode 扩展。
- 植入恶意软件: 他们在工具中植入恶意代码,该代码会随着工具的更新分发到其他开发者的机器上。
- 窃取凭证: 恶意软件窃取开发者的访问凭证,例如用于发布新软件版本的令牌。
- 扩大战果: 利用窃取到的凭证,攻击者可以篡改更多的软件开发工具,从而感染更多系统,周而复始。
“这是一个供应链入侵的飞轮,”一位安全专家表示,“它能自我延续,是获取网络访问权限和窃取资料的极其成功的方式。”
自动化蠕虫:Mini Shai-Hulud
最近,该组织似乎通过一个名为 Mini Shai-Hulud 的自我传播蠕虫,实现了大部分攻击的自动化。
- 这个蠕虫会自动窃取受害者系统中的加密凭证。
- 它利用窃取的凭证进行横向移动,进一步感染与受害者相连的其他系统。
- 攻击者似乎非常高调,喜欢炫耀其攻击成果,以此吸引注意力和潜在买家。
动机与影响
TeamPCP 的主要动机是经济利益,他们通常对目标发起勒索软件攻击或直接出售窃取的数据。然而,该组织的行为也显示出复杂性,例如曾部署过专门针对伊朗目标的破坏性软件。
此次大规模攻击已造成严重后果,受影响的组织包括:
- GitHub
- 人工智能公司 Anthropic
- OpenAI (两名员工设备)
- 数据承包公司 Mercor
- 欧盟委员会的公共网站
如何防御
尽管攻击规模巨大,但专家强调,通过良好的安全习惯可以在很大程度上进行防御。
“这次行动能够成功的最大可乘之机,是这些环境中长期有效的凭证。”
核心防御措施:
- 轮换凭证: 这是最重要的一步。即使你没有使用过被确认感染的软件包,也应该立即更换你的 GitHub、GitLab、AWS、Azure 等平台的访问令牌。
- 限制权限: 仔细管理认证令牌并尽可能实施访问限制。
- 审查更新: 不要盲目信任所有开源软件的更新。在部署前,应分析更新中是否存在可疑代码。
- 延迟部署 (Age-Gating): 避免立即安装最新发布的版本。可以设置一个“冷却期”,等待社区对新版本进行审查,确认安全后再进行更新。
正如一位专家所警告的:
“当恶意代码到达你的机器上时,一切都已经太晚了。”