所谓的软件供应链攻击,是指黑客通过篡改合法软件,植入恶意代码,从而将任何无辜的应用变成攻击受害者网络的跳板。过去这类事件较为罕见,但如今,一个名为TeamPCP的黑客组织已将这种噩梦变成了几乎每周都会发生的常态。他们破坏了数百个开源工具,勒索受害者牟利,并在整个软件开发生态系统中播下了深深的不信任。

本周二晚,开源代码平台GitHub宣布遭遇了一起软件供应链攻击:一名GitHub开发者安装了被“投毒”的VSCode扩展插件(VSCode是微软旗下常用代码编辑器的插件)。攻击者TeamPCP声称已访问了GitHub约4000个代码仓库。GitHub确认至少有3800个仓库被攻破,但这些仓库均为GitHub自身代码,未涉及客户代码。

TeamPCP在黑客论坛BreachForums上宣称:“我们今天来出售GitHub的源代码和内部组织信息,主平台的一切都在这里,愿意向感兴趣买家提供样本以验证真实性。”

此次GitHub事件是迄今为止持续时间最长的软件供应链攻击浪潮中的最新一例。网络安全公司Socket统计,TeamPCP在过去几个月内发动了20波供应链攻击,植入恶意软件的开源软件超过500个,若算上不同版本则超过千个。

这些被污染的代码使TeamPCP能够入侵数百家安装了相关软件的企业。云安全公司Wiz的战略威胁情报负责人Ben Read表示,GitHub只是该组织众多受害者中的最新一个,之前还包括AI公司OpenAI和数据合同公司Mercor。“GitHub可能是他们最大的一次攻击,但对受害公司来说,每一次攻击都极其严重,与上周发生的14起攻击没有本质区别。”

TeamPCP的核心策略是循环利用软件开发者的信任:他们先入侵开发常用开源工具的网络,比如导致GitHub被攻破的VSCode扩展,或本周早些时候被劫持的数据可视化软件AntV。恶意软件随后传播到其他开发者机器上,甚至影响到开发其他工具的开发者。

恶意软件窃取凭证,使黑客能够发布恶意版本的软件开发工具,形成恶意循环,持续扩大被攻破的网络数量。Read称:“这是一种供应链攻击的飞轮效应,能够自我维持,是获取网络访问权限和窃取数据的极其成功的手段。”

最近,TeamPCP似乎通过一种名为Mini Shai-Hulud的自传播蠕虫实现了攻击自动化。该蠕虫在GitHub仓库中创建包含被盗加密凭证的代码库,且每个仓库都带有“一个迷你沙虫出现了”的字样,暗指科幻小说《沙丘》中的沙虫,也可能是对去年九月出现的类似供应链蠕虫Shai-Hulud的致敬,尽管没有证据表明TeamPCP与之前的蠕虫有关。

Socket研究负责人Philipp Burckhardt表示:“他们显然想获得广泛关注,非常喜欢自我宣传。”该组织的暗网网站配有矩阵风格的数字流、雷鬼融合音乐,并标榜“TEAMPCP:劫持你供应链的猫”。

TeamPCP最初于2025年底出现,利用云配置错误和Next.js漏洞部署僵尸网络,进行凭证窃取和加密货币挖矿。随着时间推移,他们越来越依赖蠕虫技术,成功获取静态凭证和认证令牌,深入受害者系统。

Palo Alto Networks的Cortex云情报团队经理Nathaniel Quist表示:“他们的攻击如野火般迅速蔓延,凭证和访问令牌被大量窃取,攻击者不断利用这些凭证深入系统。我们预计这类技术将持续存在,因为它们非常有效。”

TeamPCP主要以经济利益为驱动,常通过勒索软件或数据勒索牟利,同时也愿意将受害者数据出售给任何买家。此次GitHub事件中,他们在BreachForums上声明:“这不是勒索,我们不在乎勒索GitHub,只要找到买家,我们就会销毁数据。”并暗示若无人购买,将免费泄露数据,似乎在威胁GitHub。

Quist指出,自今年4月TeamPCP转向勒索软件即服务模式后,情况变得更加复杂。他们与黑客平台BreachForums和DragonForce建立合作,有时还涉及地缘政治攻击,例如针对伊朗目标的定向破坏性蠕虫CanisterWorm。本周,TeamPCP还泄露了原始Shai Hulud蠕虫的源代码和详细文档,动机尚不明。

今年3月,TeamPCP攻击范围大幅扩大,入侵更多软件工具,导致供应链攻击连锁反应。他们在开源安全扫描器Trivy中植入信息窃取器,利用窃取的凭证攻击Python软件库PyPI上的AI接口工具LiteLLM,还污染了网络安全公司Checkmarx的基础设施,攻击了开发服务器pgserve,破坏了Web应用库TanStack和企业AI平台Mistral AI。

这些攻击造成严重后果。除GitHub外,TeamPCP的攻击还导致欧盟委员会公共网站和数据合同公司Mercor遭受破坏,OpenAI两名员工设备被攻破,以及其他多起事件。Palo Alto的Quist强调,企业可通过严格管理认证令牌和访问权限等安全“卫生”措施,部分抵御此类攻击。

他说:“长期有效的凭证是这类攻击成功的最大机会。即使不使用LiteLLM或被污染的软件包,也必须定期更换令牌。GitLab、GitHub个人访问令牌,以及AWS、Azure、GCP、阿里云、Oracle等云服务的凭证都被窃取。”

TeamPCP大规模污染代码也引发了如何安全使用开源软件的难题。Wiz的Read建议采取“延迟更新”策略,即先审核安全更新,确认无恶意后再安装,而非立即更新新发布的代码。

他举例称,Wiz曾在某次TeamPCP恶意更新中迅速发现供应链攻击并及时警告客户,但许多用户因开启自动更新功能,已下载了受污染版本。“不要总是安装最新版本,”Read提醒。

面对TeamPCP引发的供应链攻击浪潮,Socket的Burckhardt认为开源用户必须采取“信任但验证”的措施,比如在网络范围内部署更新前先进行恶意软件分析,以及Read提倡的“冷却期”策略。

Burckhardt总结:“一旦恶意代码落到你的机器上,已经太迟了。”

更新时间:2026年5月21日,美国东部时间上午10:15,删除了对AI公司Anthropic的提及。该公司是Mercor多家训练数据客户之一,但未因该公司泄露事件受到影响。