歐盟委員會栽了：30個機構數據被一鍋端，黑客用的工具你每天都在用

3月27日，歐盟委員會公開承認自家云環境被黑。從入侵到發現，整整5天沒人察覺。等安全團隊反應過來，30個歐盟機構的數據已經躺在暗網上了。

這不是什么國家級APT組織的杰作，而是一個叫TeamPCP的網絡犯罪團伙，用了一套你我在GitHub上隨手就能下載的開源工具。

一條API密鑰的漂流：從供應鏈到云核心

攻擊起點要追溯到更早的Trivy供應鏈攻擊。Trivy是一款流行的開源漏洞掃描工具，開發者用來檢查容器鏡像里的安全問題。TeamPCP在這上面動了手腳，偷到了一把AWS API密鑰——而且帶管理權限。

3月10日，他們用這把鑰匙打開了歐盟委員會的亞馬遜云賬戶大門。接下來的操作堪稱"開源工具教學片"：先用TruffleHog掃描更多憑證，然后新建訪問密鑰掛到現有用戶名下躲避檢測，最后大搖大擺地做偵察、拖數據。

TruffleHog這工具，本意是幫工程師發現代碼庫里不小心泄露的密碼。現在成了黑客的自動挖礦機。

歐盟委員會的網絡安全運營中心直到3月24日才收到警報，此時距離初始入侵已過去5天。3月26日，委員會正式通知CERT-EU（歐盟網絡安全服務機構）。一天后，BleepingComputer找上門求證，委員會才公開披露。

90GB壓縮包里的真相：5萬多封郵件被扒光

3月28日，數據勒索組織ShinyHunters在暗網發布了這個數據集：90GB壓縮包，解壓后約340GB。里面有什么？CERT-EU周四的通報給出了具體數字：

至少51,992份與外發郵件通信相關的文件，總計2.22GB。涉及71個Europa網頁托管服務客戶——其中42個是歐盟委員會內部客戶，至少29個是其他歐盟機構。

數據類型包括姓名、姓氏、用戶名、郵箱地址，以及郵件內容本身。CERT-EU確認，這些個人信息主要來自歐盟委員會網站，但"可能涉及多個歐盟機構的用戶"。

TeamPCP不是新手。這個團伙專門盯著開發者基礎設施下手：GitHub、PyPI、NPM、Docker Hub都中過招。他們還篡改過LiteLLM的PyPI包，植入"TeamPCP Cloud Stealer"信息竊取木馬，影響了數萬臺設備。

換句話說，你的pip install或npm install，可能就是他們的投遞渠道。

云安全的尷尬現實：權限管理仍是最大盲區

這起事件暴露的問題很老套，但一直沒解決。一把從供應鏈偷來的API密鑰，為什么能跨賬戶管理？歐盟委員會的AWS權限架構顯然沒有做好隔離。TruffleHog這類憑證掃描工具的存在，本身就說明密鑰硬編碼、權限過度授予是行業通病。

更諷刺的是檢測滯后。5天的 dwell time（駐留時間），足夠黑客做完偵察、橫向移動、數據打包全套流程。云環境的日志量巨大，但如果沒有針對API異常調用的實時監控，海量日志只是昂貴的存儲負擔。

TeamPCP的攻擊路徑并不復雜：偷密鑰→掃更多密鑰→偽裝持久化→拖數據。每一步都是已知手法，但組合起來就繞過了歐盟委員會的安全運營中心。

ShinyHunters的介入也值得關注。這個勒索團伙以販賣數據聞名，2020年曾聲稱黑入微軟GitHub賬戶（后被否認），2021年出售過1.29億條印度駕照記錄。他們現在成了TeamPCP的變現渠道——技術團伙負責入侵，勒索團伙負責施壓，分工越來越像正經商業合作。

歐盟委員會表示正在通知受影響個人和機構。但340GB的數據一旦流出，撤回是不可能的。暗網上的90GB壓縮包，現在誰都能下載研究。

你的開發環境里，有多少把鑰匙能打開別人家的門？