软件供应链攻击作为通过篡改正规程序植入恶意代码的黑客高危网络威胁,虽非近期独有现象,组织但其隐蔽性与破坏力始终令安全行业保持高度警惕。恶意然而,投毒近期犯罪组织 TeamPCP的开源频繁活动,正将这一威胁推向新的代码导致到波高潮。该团伙几乎每周制造代码污染事件,数百导致数百款开源工具遭篡改,家机及不仅借此向受害方勒索获利,构受更使全球软件开发生态陷入严重的黑客信任危机。

近期,恶意开源代码托管平台 GitHub 曝出严重的投毒供应链入侵事件。调查显示,开源有开发者在微软旗下编辑器中安装了带有恶意代码的代码导致到波插件,从而成为攻击入口。
TeamPCP 宣称其入侵了平台内约 4000个代码仓库。经 GitHub 官方核查证实,至少有 3800个仓库受到波及。值得注意的是,此次受影响的均为平台自身代码,并未直接波及用户数据。此外,该团伙还公开售卖窃取到的源码与内部资料,积极招揽买家进行交易,进一步加剧了安全风险的扩散。
此次 GitHub 事件仅是 TeamPCP 系列攻击的最新案例。数据显示,近数月内,该团伙已发起 20轮供应链攻击,导致超过 500款软件被植入恶意程序,遭篡改的代码版本总数突破 1000个。这种高频次、大规模的投毒行为,严重扰乱了正常的软件开发秩序。

频发的恶意攻击给开源软件的安全使用带来了严峻考验。针对当前局势,安全专家与业内人士提出以下防御建议:
在开源生态日益复杂的今天,唯有秉持审慎态度,强化供应链安全意识,才能有效抵御此类恶意投毒攻击。