软件供应链攻击,一种通过污染合法软件植入后门的威胁,正从偶发恐怖故事演变为每周新闻。背后的黑手是犯罪组织TeamPCP,他们已搅动整个开源生态,将数百个流行工具变成勒索筹码。
TeamPCP在黑客论坛BreachForums上公开叫卖GitHub的源代码,声称已入侵约4000个仓库。GitHub官方证实,确已发现至少3800个受感染仓库,但强调均为GitHub自身代码,不涉及客户项目。这起事件不过是TeamPCP长期攻击行动的冰山一角。
专注于供应链安全的公司Socket披露,过去几个月内,TeamPCP已发起超过20轮攻击,将恶意代码埋入500多个不同软件包中。若算上劫持后的不同版本,感染数量已破千。这种高频次、大规模的攻击手法,令整个软件构建链条的不信任感空前蔓延。
面对这股恶意代码浪潮,安全社区开始反思“如何安全使用开源”。安全公司Wiz提出了“更新年龄门控”策略:对安全更新放心安装,但对待新发布的、来源可疑的依赖,则需强制“冷静期”。Wiz在一次攻击中仅用数分钟便检测到入侵,但许多开启自动更新的用户已中招。Socket总结道:“信任但验证”的底线是——在代码运行前必须分析,因为一旦触及机器,为时已晚。
这场由TeamPCP掀起的风暴,或许预示着开源软件“无限信任”时代的终结。对于开发者而言,每一次npm install都可能变成一次赌博。