2025年3月，兩起供應(yīng)鏈攻擊事件相繼發(fā)生，攻擊者將惡意軟件植入熱門開源工具，并借此從數(shù)萬乃至更多組織中竊取敏感憑證。事件的完整影響范圍預(yù)計還需數(shù)月才能完全評估。

兩起攻擊均以被大量組織廣泛使用、并被整合進無數(shù)軟件產(chǎn)品、應(yīng)用程序及開發(fā)環(huán)境的開源項目為目標。

首先遭到攻擊的是漏洞掃描工具Trivy，該工具擁有逾10萬名用戶和貢獻者，并被嵌入數(shù)千條CI/CD流水線。隨后受害的是開源JavaScript庫Axios，該庫每周下載量約達1億次，運行于80%的云端及代碼環(huán)境之中。

Mandiant咨詢公司首席技術(shù)官查爾斯·卡馬卡爾（Charles Carmakal）告訴《The Register》："這兩起事件的影響將在未來數(shù)月內(nèi)持續(xù)發(fā)酵。幾周前被竊取的數(shù)據(jù)，本周、下周乃至未來數(shù)月都可能被利用，波及范圍將持續(xù)擴大。"

盡管兩起攻擊出自不同的幕后黑手——Axios攻擊與朝鮮關(guān)聯(lián)組織有關(guān)，Trivy攻擊則源于一個被稱為TeamPCP的松散黑客團伙——但二者目標相似，均展現(xiàn)出對開發(fā)者環(huán)境的深入了解以及高超的社會工程技術(shù)。

安全專家指出，這兩起事件預(yù)示著供應(yīng)鏈攻擊的未來演變方向。

Cisco Talos外聯(lián)負責(zé)人尼克·比亞西尼（Nick Biasini）表示："我們看到越來越多的開發(fā)者成為此類攻擊的目標。攻擊者開始深入研究供應(yīng)鏈和開源軟件包，尋找入侵開發(fā)者的途徑，以傳播惡意軟件或竊取數(shù)據(jù)。"

他還補充道，隨著攻擊者借助AI技術(shù)打造更具說服力、更具針對性的社會工程攻擊，此類事件將愈發(fā)頻繁。"在當今這個AI盛行的時代，加之人們普遍擁有大量公開的個人信息，構(gòu)建攻擊變得越來越容易。只要有足夠的利益驅(qū)動，就會有大批人蜂擁而至。這次的成功，只會引來更多的效仿者。"

TeamPCP的"橫沖直撞"式攻擊

TeamPCP于2月下旬入侵了由Aqua Security維護的開源漏洞掃描器Trivy，并于3月16日通過二進制文件、GitHub Actions及容器鏡像向其注入憑證竊取惡意軟件。該惡意軟件大肆收割CI/CD密鑰、云端憑證、SSH密鑰及Kubernetes配置文件，并在開發(fā)者機器上植入持久性后門，同時為攻擊者進入其他多個開源工具提供了初始立足點。

3月23日，同一團伙利用從Trivy攻擊中竊取的CI/CD密鑰，將相同惡意軟件注入由Checkmarx維護的開源靜態(tài)分析工具KICS。數(shù)日后，TeamPCP又向Python軟件包索引（PyPI）發(fā)布了LiteLLM和Telnyx的惡意版本，這兩個項目均在其CI/CD流水線中使用了Trivy。

Wiz網(wǎng)絡(luò)威脅情報團隊負責(zé)人本·里德（Ben Read）表示："我認為他們是故意盯上安全工具的。這或許是在向安全社區(qū)挑釁，又或許是他們發(fā)現(xiàn)了一個可乘之機——安全環(huán)境中會發(fā)生一些不尋常的事情，而這些異常往往不會被仔細審查。但更關(guān)鍵的一點是：這些攻擊手段其實非常容易實施。"

TeamPCP最早于2025年底進入網(wǎng)絡(luò)犯罪領(lǐng)域，專門針對云環(huán)境實施數(shù)據(jù)竊取和勒索攻擊，風(fēng)格鮮明——行動迅猛，以"橫沖直撞"式的速度為核心，大量抓取數(shù)據(jù)后迅速撤離。

威脅暴露管理服務(wù)商Flare的研究人員是最早拉響警報的團隊之一。去年12月，F(xiàn)lare詳細披露了該黑客組織如何利用配置不當?shù)腄ocker API、Kubernetes API、Ray面板、Redis服務(wù)器及存在漏洞的React/Next.js應(yīng)用程序?qū)嵤┕?。在攻陷單個工作負載后，攻擊者利用所獲權(quán)限在整個集群中橫向移動，將竊取的數(shù)據(jù)用于勒索，并將暴露的基礎(chǔ)設(shè)施用于挖礦、代理網(wǎng)絡(luò)、掃描及數(shù)據(jù)托管。

安全研究人員認為，TeamPCP是一個松散的年輕人團體，以英語母語者為主，其行事風(fēng)格深受網(wǎng)紅文化和YouTube趨勢影響。他們喜歡在Telegram和Discord頻道上炫耀戰(zhàn)績，與The Com、Lapsus$、Scattered Spider及ShinyHunters等攻擊團伙如出一轍。

"他們的溝通風(fēng)格明顯受Lapsus$影響，"里德說道，并指出該團伙在其惡意域名中嵌入了一段Rickroll惡搞視頻，還在基于區(qū)塊鏈的命令與控制基礎(chǔ)設(shè)施中隱藏了一段秘密信息，內(nèi)容寫道："感謝你不是個'氛圍感研究員'。"

"他們知道有人在盯著他們看，而且他們樂在其中，刻意構(gòu)建這種自我形象，"里德補充道。此外，從該團伙12月的攻擊和對Trivy的入侵來看，TeamPCP"對開發(fā)者環(huán)境顯然相當熟悉，而且很明顯他們在借助大語言模型輔助編寫部分代碼"。

開發(fā)者環(huán)境通常有完善的文檔記錄，這使其非常適合借助大語言模型協(xié)助發(fā)現(xiàn)配置錯誤，以及編寫并注入惡意代碼。

"在所有四起開源項目被攻陷的案例中，他們的風(fēng)格都是'橫沖直撞'，"里德說，"所有案例均在不到12小時內(nèi)被發(fā)現(xiàn)。他們并不打算掩蓋蹤跡，也不試圖找到某個高價值目標后悄然撤離。核心就是速度——拼命抓取一切，然后迅速跑路。"

逾萬家組織受到波及

盡管這些攻擊并不精妙，卻仍積累了海量憑證——"數(shù)量之大，以至于攻擊者開始主動向其他多個威脅行為者尋求協(xié)助，共同處置這批被盜憑證，"卡馬卡爾說道。

據(jù)卡馬卡爾透露，TeamPCP共計竊取了逾1萬家組織的憑證，但這并不意味著他們已經(jīng)入侵了同等數(shù)量的環(huán)境并實施了數(shù)據(jù)竊取或其他惡意行為。"逾萬家組織很可能已受到波及，"他說，"令人震驚的是，這些人從大量被攻陷的端點中成功獲取了數(shù)量如此龐大的憑證。"

卡馬卡爾認為該團伙的攻勢尚未終結(jié)。"只要他們持續(xù)利用這些憑證和密鑰，就很可能繼續(xù)入侵更多環(huán)境。隨著每一次新的入侵，他們又能獲取更多密鑰和憑證，如此循環(huán)往復(fù)，直到他們主動收手、執(zhí)法部門介入，或遭遇其他形式的干擾為止。"

UNC1069對Axios發(fā)動的精密攻擊

就在Trivy事件發(fā)生兩周后，另一起供應(yīng)鏈攻擊針對不同的開源庫接踵而至。

3月31日，npm生態(tài)中使用最為廣泛的HTTP客戶端庫之一Axios，在約三小時內(nèi)淪為惡意軟件的傳播載體——攻擊者劫持了一名維護者的賬號，并將一個遠程訪問木馬（RAT）悄然植入兩個表面合法的版本發(fā)布中。

谷歌威脅情報小組（GTIG）將此次攻擊歸因于一個其追蹤代號為UNC1069的朝鮮關(guān)聯(lián)威脅行為者。

GTIG首席分析師約翰·赫爾特奎斯特（John Hultquist）表示："朝鮮黑客在供應(yīng)鏈攻擊方面積累了豐富經(jīng)驗，歷史上曾多次利用此類手段竊取加密貨幣。此次事件的完整影響范圍仍不明朗，但鑒于被攻陷軟件包的廣泛使用程度，我們預(yù)計其影響將相當深遠。"

Axios主要維護者賈森·薩曼（Jason Saayman）隨后發(fā)布了一篇詳細的事后復(fù)盤報告，指出此次攻擊手法與谷歌今年2月發(fā)布的關(guān)于UNC1069的分析報告高度吻合，即利用AI輔助的社會工程手段，針對加密貨幣公司實施定制化惡意軟件攻擊。

攻擊者冒充某公司創(chuàng)始人主動聯(lián)系薩曼，并提前創(chuàng)建了該真實公司及其創(chuàng)始人的數(shù)字克隆。他們還搭建了一個逼真的Slack工作區(qū)，配備完整的員工資料和帖子內(nèi)容，并邀請薩曼加入。

"最初聯(lián)系的那位受害者收到了一份協(xié)作邀請，"里德說，"這本應(yīng)是互聯(lián)網(wǎng)應(yīng)有的運作方式：來自全球各地的兩個人共同協(xié)作，為更多人開發(fā)有價值的項目。但幕后操盤的，卻是朝鮮。"

在取得薩曼的信任后，攻擊者將其引導(dǎo)至一場Teams在線會議。然而當他嘗試加入時，Teams提示其軟件版本過舊，需要安裝更新才能繼續(xù)。薩曼在復(fù)盤報告中寫道："那個更新，就是遠程訪問木馬本身。"

該惡意軟件使UNC1069獲得了對薩曼機器的訪問權(quán)限，并借此向Axios項目推送了惡意更新。在約三小時的時間窗口內(nèi)安裝了被污染軟件包的系統(tǒng)，均會下載一個竊取程序，該程序會將用戶的私鑰和憑證外泄至攻擊者控制的服務(wù)器。

受影響的下游用戶數(shù)量目前尚不明確。

比亞西尼表示："這是一次非常復(fù)雜精密的攻擊活動。攻擊者為攻陷這名特定受害者付出了大量心血，而且?guī)缀鯖]有任何跡象能讓受害者察覺到有什么不對勁。"

朝鮮犯罪團伙將開發(fā)者列為長期攻擊目標

多年來，朝鮮犯罪團伙持續(xù)將開發(fā)者及有意招募開發(fā)者的公司作為打擊目標，實施的國家支持的網(wǎng)絡(luò)攻擊行動涵蓋加密貨幣盜竊、勒索軟件與敲詐勒索攻擊，以及IT從業(yè)者身份欺詐等多種形式。近期，他們更開始直接針對開發(fā)者個人下手，以求職面試、在線會議等為誘餌，攻陷受害者設(shè)備并竊取憑證及加密貨幣錢包。

里德指出："朝鮮已經(jīng)形成了一套深層次的認知飛輪——他們既有滲透進真實企業(yè)的IT工作者，也從技術(shù)層面深入理解了開發(fā)者環(huán)境的運作機制。從我們已掌握的情況以及我們對客戶的預(yù)警來看：這類事件會持續(xù)發(fā)生，不會停止。"

兩起供應(yīng)鏈攻擊的共同啟示

這兩起供應(yīng)鏈攻擊共同揭示了一個規(guī)律：攻擊者永遠會選擇阻力最小的路徑，無論是直接使用被盜憑證登錄，還是對開源項目的唯一維護者實施社會工程攻擊。

比亞西尼表示："他們意識到，與其費力地硬攻這些公司，不如去針對那一兩個維護某個支撐著整個互聯(lián)網(wǎng)運轉(zhuǎn)的開源軟件包的個人，這樣劃算得多。通過攻陷這些軟件包，他們就能在廣泛的領(lǐng)域創(chuàng)造出大量可乘之機。"

如果說這兩起事件還有什么積極意義，那便是它們"讓大家對這個所有人都正在面臨的被污染軟件包問題產(chǎn)生了廣泛的認知，"卡馬卡爾說，"這也重新引發(fā)了關(guān)于SBOM（軟件物料清單）的討論。"SBOM本質(zhì)上是一份軟件組件的"成分清單"，涵蓋開源、第三方及自研代碼。

"最關(guān)鍵的一步，是搞清楚自己的風(fēng)險究竟在哪里，"比亞西尼表示，"一旦供應(yīng)鏈攻擊發(fā)生，你應(yīng)該能夠迅速判斷：這個軟件包在我們的環(huán)境中被用在哪里？我們潛在的感染點在哪里？作為防御者，最重要的事情是確保你擁有這些SBOM，清楚地知道這些軟件包的分布情況，并盡可能快速地完成分級響應(yīng)。"

比亞西尼還建議借助AI智能體來協(xié)助完成這項工作。"這正是發(fā)揮AI價值的絕佳場景，"他說，"開始部署AI智能體，用于識別這些開源項目在你們環(huán)境中的分布情況。"

關(guān)于快速檢測與主動防御

所有受訪安全專家均對上述供應(yīng)鏈攻擊的快速檢測速度給予了肯定。"在大多數(shù)案例中，12小時以內(nèi)，"里德說，"這些攻擊并沒有長期潛伏，悄無聲息地埋伏著。"

在供應(yīng)鏈攻擊中，代碼被污染與被發(fā)現(xiàn)之間始終存在一段時間窗口，而這段窗口恰恰為組織提供了避免將惡意軟件下載到自身系統(tǒng)的機會。

"如果你在開發(fā)環(huán)境中設(shè)置一條規(guī)則，規(guī)定不下載任何發(fā)布時間不足24小時的版本，你就能完全繞過這些攻擊，"里德說，"這說起來簡單，但要持續(xù)執(zhí)行卻相當困難——尤其是在負責(zé)財務(wù)的Jim也開始用Claude、人人都變成了開發(fā)者的今天。"

盡管如此，結(jié)合一定時間的延遲策略、SBOM管理、清楚掌握哪些軟件運行在哪些機器上以及密鑰的存儲位置，仍然能夠幫助組織更高效地"響應(yīng)和優(yōu)先級排序"，他補充道。

比亞西尼最后警告："社會工程攻擊不會消失，而且隨著深度偽造、聲音克隆和視頻克隆技術(shù)的發(fā)展，情況只會越來越糟。各組織現(xiàn)在就應(yīng)該著手規(guī)劃安全口令、安全實物等身份驗證機制"——他所說的"實物"，是指你桌上的一件真實物品，可以在視頻通話中拿起來向?qū)Ψ阶C明你的身份。

"務(wù)必現(xiàn)在就建立好相應(yīng)的應(yīng)對機制，因為很快你就會在視頻通話中看到你的CEO或上司出現(xiàn)，要求你執(zhí)行某項看似奇怪的指令。如果這些防護措施還沒有到位，到時候臨時搭建將會非常困難。"

Q&A

Q1：TeamPCP是如何通過Trivy發(fā)動供應(yīng)鏈攻擊的？

A：TeamPCP于2月下旬入侵了Trivy，并于3月16日通過二進制文件、GitHub Actions和容器鏡像注入憑證竊取惡意軟件，大肆收割CI/CD密鑰、云端憑證、SSH密鑰及Kubernetes配置文件，同時在開發(fā)者機器上植入持久性后門。隨后，該團伙又利用從Trivy竊取的CI/CD密鑰，相繼攻陷了KICS、LiteLLM和Telnyx等開源項目，共計竊取了逾1萬家組織的憑證。

Q2：Axios供應(yīng)鏈攻擊是怎么實施的，攻擊者用了哪些手段？

A：朝鮮關(guān)聯(lián)組織UNC1069冒充某公司創(chuàng)始人接觸Axios維護者賈森·薩曼，并創(chuàng)建了偽造的公司數(shù)字克隆和逼真的Slack工作區(qū)。取得信任后，攻擊者邀請薩曼參加Teams會議，會議中偽造"軟件更新"提示，誘導(dǎo)其安裝了遠程訪問木馬（RAT）。攻擊者隨后借此推送惡意Axios版本，在約三小時內(nèi)竊取了下載被污染軟件包的用戶的私鑰和憑證。

Q3：企業(yè)如何防范開源供應(yīng)鏈攻擊？

A：安全專家建議從以下幾點入手：一是建立SBOM（軟件物料清單），清楚掌握各開源組件在環(huán)境中的分布情況；二是在開發(fā)環(huán)境中設(shè)置延遲策略，避免自動下載發(fā)布時間不足24小時的新版本；三是部署AI智能體，快速識別受影響軟件包的使用范圍；四是一旦發(fā)生攻擊，能夠迅速完成分級響應(yīng)，確定感染點。此外，還應(yīng)針對日益猖獗的社會工程攻擊提前規(guī)劃安全口令和實物身份驗證機制。