黑客组织TeamPCP通过恶意VSCode扩展入侵GitHub,2300多万代码仓库超过3800个遭泄露。
一场前所未有的软件供应链攻击正在席卷开源社区。黑客组织TeamPCP通过投毒VSCode扩展,成功攻入GitHub内部系统,据称获取了大约4000个代码仓库的访问权限。GitHub官方确认至少3800个仓库遭泄露,受影响范围涉及2300多万个活跃仓库。
这仅是TeamPCP攻击行动的冰山一角。网络安全公司Socket的追踪数据显示,该组织已实施了20轮供应链攻击,恶意代码被植入了超过500个独立软件包。其受害者名单包括OpenAI、数据承包公司Mercor以及欧盟委员会的公开网站。
TeamPCP的战术核心在于一个自我繁衍的循环:攻陷开发工具,植入窃取凭证的恶意代码,再利用窃得的凭证投毒更多工具。安全专家将其描述为"供应链攻陷的飞轮效应"——一旦启动便自动持续运转。更危险的是,该组织还部署了一种名为"Mini Shai-Hulud"的自传播蠕虫,能够自动创建携带窃取凭证的GitHub仓库。
该组织的动机以财务收益为主,将勒索软件与数据勒索相结合。自四月起,TeamPCP通过与BreachForums和DragonForce的合作转向了勒索软件即服务模式。此外,该组织还部署了一个名为CanisterWorm的定向擦除器,专门针对伊朗目标的数据销毁。
安全专家建议采取"更新时效准入"策略——对安全补丁进行审查,但延迟立即安装新发布的代码,同时即便未直接使用受感染的软件包,也应轮换所有凭证。在供应链攻击的飞轮效应之下,没有人能够置身事外。
本文译自 arstechnica,由 BALI 编辑发布。