所谓的软件供应链攻击,是指黑客通过篡改合法软件来隐藏恶意代码,这种攻击曾经较为罕见,但因其能够将任何无辜应用变成受害网络中的危险据点,长期困扰着网络安全领域。如今,一个名为TeamPCP的网络犯罪组织将这种偶发的噩梦变成了几乎每周都会发生的事件,他们破坏了数百个开源工具,勒索受害者牟利,并在整个软件开发生态系统中播下了新的不信任。

周二晚间,开源代码平台GitHub宣布遭遇了一次软件供应链攻击:一名GitHub开发者安装了一个被“投毒”的VSCode扩展插件(VSCode是微软旗下的常用代码编辑器),导致黑客成功入侵。TeamPCP声称已访问了约4000个GitHub代码仓库。GitHub官方确认发现至少3800个仓库被破坏,但这些仓库均包含GitHub自身的代码,而非客户代码。

“我们今天在此出售GitHub的源代码和内部组织结构,”TeamPCP在黑客论坛BreachForums上宣称,“主平台的所有内容都在这里,我很乐意向有兴趣的买家提供样本以验证真实性。”

此次GitHub泄露只是迄今为止最长时间的软件供应链攻击浪潮中的最新事件。专注于软件供应链安全的网络安全公司Socket表示,TeamPCP在过去几个月内发动了20波供应链攻击,植入恶意软件的开源软件超过500个,若算上所有被劫持的代码版本,数量超过一千个。

这些被污染的代码使TeamPCP得以入侵数百家安装了相关软件的公司。云安全公司Wiz的战略威胁情报负责人Ben Read表示,GitHub只是该组织众多受害者中的最新一个,其他受害者还包括AI公司OpenAI和数据合同公司Mercor。“GitHub事件可能是他们迄今为止最大的一次,”Read说,“但对每个受害公司来说,每一次攻击都是重大事件,与上周发生的14起攻击本质上没有区别。”

TeamPCP的核心策略是循环利用软件开发者:黑客入侵开发常用开源工具的网络,例如导致GitHub泄露的VSCode扩展或本周早些时候被劫持的数据可视化软件AntV。他们在工具中植入恶意软件,感染其他开发者的设备,包括那些开发其他供程序员使用工具的开发者。

恶意软件帮助黑客窃取凭证,从而发布恶意版本的软件开发工具,形成恶意循环,TeamPCP的受害网络不断增加。Read形容这是一种“供应链攻击的飞轮效应”,“自我持续,极其成功地获取网络访问权限并窃取数据。”

最近,该组织似乎通过一种名为Mini Shai-Hulud的自传播蠕虫实现了攻击自动化。该蠕虫在GitHub仓库中创建包含被盗加密凭证的代码库,每个库都带有“一个迷你沙虫出现了”的字样及多处科幻小说《沙丘》的引用。这不仅指向《沙丘》中的沙虫,也暗示了去年9月出现的类似供应链蠕虫Shai-Hulud,尽管没有证据表明TeamPCP与此前的蠕虫有关。

Socket研究负责人Philipp Burckhardt表示:“他们显然想要引起广泛关注,非常在意曝光度,喜欢自我宣传。”该组织的暗网网站配有矩阵风格的数字流、雷鬼融合音乐和“TEAMPCP:劫持你供应链的猫”字样。

TeamPCP最初于2025年底出现,利用云配置错误和Next.js漏洞部署僵尸网络,进行凭证窃取和加密货币挖矿。随着时间推移,他们越来越多地依赖蠕虫技术,成功获取静态凭证和认证令牌,深入受害系统。

Palo Alto Networks Cortex云情报团队经理Nathaniel Quist表示:“这波攻击如野火般迅速蔓延。他们找到凭证和个人访问令牌后,便不断扩展入侵范围。我们预计这类技术将持续出现,攻击者知道效果显著,正在不断利用。”

TeamPCP主要以经济利益为驱动,常通过勒索软件或数据勒索牟利,也愿意将受害者数据出售给任何买家。此次GitHub事件中,他们在BreachForums上声明“不勒索GitHub,只要有买家,我们就会删除数据。”并暗示若无人购买,将免费泄露数据,似乎在威胁GitHub。

Quist指出,TeamPCP自4月起转向勒索软件即服务模式,与BreachForums和DragonForce等犯罪平台合作。该组织还曾涉足地缘政治,针对伊朗目标部署名为CanisterWorm的破坏性蠕虫,攻击Kubernetes云基础设施。

本周,声称为TeamPCP的实体还泄露了原始Shai Hulud蠕虫代码及详细文档,动机尚不明。

3月起,TeamPCP大幅扩大攻击范围,入侵更多软件工具,导致供应链攻击连锁反应。他们在开源安全扫描器Trivy中植入信息窃取器,利用窃取的凭证攻击Python软件库PyPI上的AI接口工具LiteLLM,还污染了网络应用安全公司Checkmarx的基础设施,攻击了开发服务器pgserve,入侵了Web应用库TanStack和企业AI平台Mistral AI。

此次攻击造成严重后果。除GitHub外,TeamPCP对软件服务提供商的攻击还导致欧盟委员会公共网站和数据合同公司Mercor被攻破,OpenAI两名员工设备被入侵等多起事件。Palo Alto的Quist强调,组织可通过安全“卫生”措施降低风险,严格管理认证令牌并限制访问权限。

他说:“此次行动成功的最大机会因素是环境中长期有效的凭证。即使不使用LiteLLM或被污染的软件包,也必须定期更换令牌。GitLab、GitHub个人访问令牌,AWS、Azure、GCP、阿里云、Oracle等所有凭证都在被窃取。”

TeamPCP大规模污染代码也带来如何安全使用开源软件的难题。Wiz的Read建议采取“年龄门控”策略,即对开源工具更新进行严格审查,安装安全补丁,但对新发布可能含恶意代码的版本保持观望。

Read举例称,Wiz曾在某次TeamPCP恶意更新中迅速发现供应链攻击并及时警告客户,但许多用户因开启自动更新已下载受感染版本。“不应总是安装最新版本,”他说。

面对TeamPCP引发的供应链攻击浪潮,Socket的Burckhardt建议开源用户采取“信任但验证”的措施,如在网络部署前分析更新是否含恶意软件,并实行Read推荐的“冷却”期。

他说:“代码一旦落入你的机器,已经太迟了。”

(本文于2026年5月21日上午10:15更新,删除了对AI公司Anthropic的提及。该公司虽为Mercor的多家训练数据客户之一,但未因该公司泄露事件受到影响。)