【CNMO 科技消息】软件供应链攻击——黑客通过篡改合法软件隐藏恶意代码——曾是一种相对罕见但令网络安全界胆寒的威胁。如今,一个名为 TeamPCP 的网络犯罪组织已将这种偶发的噩梦变成了几乎每周上演的事件,污染了数百个开源工具,勒索受害者牟利,并在整个用于构建全球软件的生态系统中播下了前所未有的不信任感。
TeamPCP 在网络犯罪论坛 BreachForums 上发帖称:" 我们今天在此出售 GitHub 的源代码和内部组织信息……主平台的一切都在这里,我很乐意向感兴趣的买家发送样本以验证绝对真实性。"
GitHub 入侵只是 TeamPCP 发起的、有史以来持续时间最长且似乎永无止境的软件供应链攻击狂潮中的最新一幕。专注于软件供应链安全的公司 Socket 指出,仅在过去几个月,TeamPCP 就发起了 20 轮供应链攻击,将恶意软件隐藏在超过 500 个不同的软件中;若算上所有被其劫持的代码版本,总数则超过一千个。
Socket 的 Burckhardt 总结道:在 TeamPCP 引发的供应链攻击流行中,开源用户需要采取 " 信任但验证 " 的措施,例如在网络中部署更新前分析其是否含有恶意软件,以及像 Read 建议的那样,在下载和运行代码前设置一个 " 冷静期 "。" 当它触及你的机器时," Burckhardt 说," 就已经太晚了。
