【CNMO 科技消息】软件供应链攻击——黑客通过篡改合法软件隐藏恶意代码——曾是一种相对罕见但令网络安全界胆寒的威胁。如今，一个名为 TeamPCP 的网络犯罪组织已将这种偶发的噩梦变成了几乎每周上演的事件，污染了数百个开源工具，勒索受害者牟利，并在整个用于构建全球软件的生态系统中播下了前所未有的不信任感。

据 CNMO 科技了解，开源代码平台 GitHub 近期宣布其在一起软件供应链攻击中遭到黑客入侵。一名 GitHub 开发者在常用的代码编辑器 VSCode 中安装了一个 " 有毒 " 的扩展插件。该插件和 GitHub 一样，同属微软旗下。作为此次入侵的幕后黑手，TeamPCP 声称访问了 GitHub 上约 4000 个代码仓库。GitHub 在声明中确认已发现至少 3800 个受感染的仓库，并表示根据目前调查，这些仓库包含的都是 GitHub 自身的代码，而非客户代码。

TeamPCP 在网络犯罪论坛 BreachForums 上发帖称：" 我们今天在此出售 GitHub 的源代码和内部组织信息……主平台的一切都在这里，我很乐意向感兴趣的买家发送样本以验证绝对真实性。"

GitHub 入侵只是 TeamPCP 发起的、有史以来持续时间最长且似乎永无止境的软件供应链攻击狂潮中的最新一幕。专注于软件供应链安全的公司 Socket 指出，仅在过去几个月，TeamPCP 就发起了 20 轮供应链攻击，将恶意软件隐藏在超过 500 个不同的软件中；若算上所有被其劫持的代码版本，总数则超过一千个。

面对 TeamPCP 掀起的恶意代码浪潮，如何安全使用开源软件成为难题。Wiz 的 Read 建议采取 " 更新年龄门控 " 等防护措施——审查并安装安全更新，但对于新发布、可能恶意的代码，则暂缓立即更新。他举例说，在最近一次恶意更新中，Wiz 在几分钟内就检测到供应链入侵并向客户发出警告，但许多软件用户已启用自动更新并下载了它。

Socket 的 Burckhardt 总结道：在 TeamPCP 引发的供应链攻击流行中，开源用户需要采取 " 信任但验证 " 的措施，例如在网络中部署更新前分析其是否含有恶意软件，以及像 Read 建议的那样，在下载和运行代码前设置一个 " 冷静期 "。" 当它触及你的机器时，" Burckhardt 说，" 就已经太晚了。