软件供应链攻击——黑客通过篡改合法软件隐藏恶意代码——曾是一种相对罕见但令网络安全界胆寒的威胁。
如今,一个名为TeamPCP的网络犯罪组织已将这种偶发的噩梦变成了几乎每周上演的事件,污染了数百个开源工具,勒索受害者牟利,并在整个用于构建全球软件的生态系统中播下了前所未有的不信任感。
据了解,开源代码平台GitHub近期宣布其在一起软件供应链攻击中遭到黑客入侵。一名GitHub开发者在常用的代码编辑器VSCode中安装了一个“有毒”的扩展插件。该插件和GitHub一样,同属微软旗下。
作为此次入侵的幕后黑手,TeamPCP声称访问了GitHub上约4000个代码仓库。GitHub在声明中确认已发现至少3800个受感染的仓库,并表示根据目前调查,这些仓库包含的都是GitHub自身的代码,而非客户代码。
TeamPCP在网络犯罪论坛BreachForums上发帖称:“我们今天在此出售GitHub的源代码和内部组织信息……主平台的一切都在这里,我很乐意向感兴趣的买家发送样本以验证绝对真实性。”
GitHub入侵只是TeamPCP发起的、有史以来持续时间最长且似乎永无止境的软件供应链攻击狂潮中的最新一幕。
专注于软件供应链安全的公司Socket指出,仅在过去几个月,TeamPCP就发起了 20轮供应链攻击,将恶意软件隐藏在超过500个不同的软件中;若算上所有被其劫持的代码版本,总数则超过一千个。
面对TeamPCP掀起的恶意代码浪潮,如何安全使用开源软件成为难题。Wiz的Read建议采取“更新年龄门控”等防护措施——审查并安装安全更新,但对于新发布、可能恶意的代码,则暂缓立即更新。他举例说,在最近一次恶意更新中,Wiz在几分钟内就检测到供应链入侵并向客户发出警告,但许多软件用户已启用自动更新并下载了它。
Socket的Burckhardt总结道:在TeamPCP引发的供应链攻击流行中,开源用户需要采取“信任但验证”的措施,例如在网络中部署更新前分析其是否含有恶意软件,以及像Read建议的那样,在下载和运行代码前设置一个“冷静期”。“当它触及你的机器时,” Burckhardt说,“就已经太晚了。
