軟體供應鏈攻擊,是通過篡改正規程序植入惡意代碼的高危網路威脅,此前這類事件並不頻發,卻始終讓安全行業高度警惕。
如今犯罪組織TeamPCP頻繁發動此類攻擊,幾乎每周都製造代碼污染事件,數百款開源工具遭篡改,團伙藉此向受害方勒索獲利,也讓全球軟體開發生態陷入信任危機。
近期開源平台GitHub曝出遭供應鏈入侵事件,有開發者在微軟旗下的編輯器中安裝了帶毒插件。
該組織宣稱入侵平台內約4000個代碼倉庫,GitHub核查後證實至少3800個倉庫中招,涉事均為平台自身代碼,並未波及用戶數據。TeamPCP還公開售賣源碼與內部資料,招攬買家交易。
此次入侵僅是該團伙系列攻擊的最新案例。近數月內,TeamPCP已發起20輪供應鏈攻擊,超500款軟體被植入惡意程式,遭篡改的代碼版本總數破千。
頻發的惡意攻擊,也給開源軟體安全使用帶來嚴峻考驗。安全專家建議把控更新節奏,暫緩上線全新代碼,避免自動更新帶來風險。業內人士也提醒用戶秉持審慎態度,代碼運行前做好惡意篩查,預留核驗緩衝期,防止惡意程式侵入設備造成損失。
