兩起開源工具投毒事件揭示供應鏈攻擊的未來走向

2025年3月，兩起供應鏈攻擊事件相繼發生，攻擊者將惡意軟件植入熱門開源工具，并借此從數萬乃至更多組織中竊取敏感憑證。事件的完整影響范圍預計還需數月才能完全評估。

兩起攻擊均以被大量組織廣泛使用、并被整合進無數軟件產品、應用程序及開發環境的開源項目為目標。

首先遭到攻擊的是漏洞掃描工具Trivy，該工具擁有逾10萬名用戶和貢獻者，并被嵌入數千條CI/CD流水線。隨后受害的是開源JavaScript庫Axios，該庫每周下載量約達1億次，運行于80%的云端及代碼環境之中。

Mandiant咨詢公司首席技術官查爾斯·卡馬卡爾（Charles Carmakal）告訴《The Register》："這兩起事件的影響將在未來數月內持續發酵。幾周前被竊取的數據，本周、下周乃至未來數月都可能被利用，波及范圍將持續擴大。"

盡管兩起攻擊出自不同的幕后黑手——Axios攻擊與朝鮮關聯組織有關，Trivy攻擊則源于一個被稱為TeamPCP的松散黑客團伙——但二者目標相似，均展現出對開發者環境的深入了解以及高超的社會工程技術。

安全專家指出，這兩起事件預示著供應鏈攻擊的未來演變方向。

Cisco Talos外聯負責人尼克·比亞西尼（Nick Biasini）表示："我們看到越來越多的開發者成為此類攻擊的目標。攻擊者開始深入研究供應鏈和開源軟件包，尋找入侵開發者的途徑，以傳播惡意軟件或竊取數據。"

他還補充道，隨著攻擊者借助AI技術打造更具說服力、更具針對性的社會工程攻擊，此類事件將愈發頻繁。"在當今這個AI盛行的時代，加之人們普遍擁有大量公開的個人信息，構建攻擊變得越來越容易。只要有足夠的利益驅動，就會有大批人蜂擁而至。這次的成功，只會引來更多的效仿者。"

TeamPCP的"橫沖直撞"式攻擊

TeamPCP于2月下旬入侵了由Aqua Security維護的開源漏洞掃描器Trivy，并于3月16日通過二進制文件、GitHub Actions及容器鏡像向其注入憑證竊取惡意軟件。該惡意軟件大肆收割CI/CD密鑰、云端憑證、SSH密鑰及Kubernetes配置文件，并在開發者機器上植入持久性后門，同時為攻擊者進入其他多個開源工具提供了初始立足點。

3月23日，同一團伙利用從Trivy攻擊中竊取的CI/CD密鑰，將相同惡意軟件注入由Checkmarx維護的開源靜態分析工具KICS。數日后，TeamPCP又向Python軟件包索引（PyPI）發布了LiteLLM和Telnyx的惡意版本，這兩個項目均在其CI/CD流水線中使用了Trivy。

Wiz網絡威脅情報團隊負責人本·里德（Ben Read）表示："我認為他們是故意盯上安全工具的。這或許是在向安全社區挑釁，又或許是他們發現了一個可乘之機——安全環境中會發生一些不尋常的事情，而這些異常往往不會被仔細審查。但更關鍵的一點是：這些攻擊手段其實非常容易實施。"

TeamPCP最早于2025年底進入網絡犯罪領域，專門針對云環境實施數據竊取和勒索攻擊，風格鮮明——行動迅猛，以"橫沖直撞"式的速度為核心，大量抓取數據后迅速撤離。

威脅暴露管理服務商Flare的研究人員是最早拉響警報的團隊之一。去年12月，Flare詳細披露了該黑客組織如何利用配置不當的Docker API、Kubernetes API、Ray面板、Redis服務器及存在漏洞的React/Next.js應用程序實施攻擊。在攻陷單個工作負載后，攻擊者利用所獲權限在整個集群中橫向移動，將竊取的數據用于勒索，并將暴露的基礎設施用于挖礦、代理網絡、掃描及數據托管。

安全研究人員認為，TeamPCP是一個松散的年輕人團體，以英語母語者為主，其行事風格深受網紅文化和YouTube趨勢影響。他們喜歡在Telegram和Discord頻道上炫耀戰績，與The Com、Lapsus$、Scattered Spider及ShinyHunters等攻擊團伙如出一轍。

"他們的溝通風格明顯受Lapsus$影響，"里德說道，并指出該團伙在其惡意域名中嵌入了一段Rickroll惡搞視頻，還在基于區塊鏈的命令與控制基礎設施中隱藏了一段秘密信息，內容寫道："感謝你不是個'氛圍感研究員'。"

"他們知道有人在盯著他們看，而且他們樂在其中，刻意構建這種自我形象，"里德補充道。此外，從該團伙12月的攻擊和對Trivy的入侵來看，TeamPCP"對開發者環境顯然相當熟悉，而且很明顯他們在借助大語言模型輔助編寫部分代碼"。

開發者環境通常有完善的文檔記錄，這使其非常適合借助大語言模型協助發現配置錯誤，以及編寫并注入惡意代碼。

"在所有四起開源項目被攻陷的案例中，他們的風格都是'橫沖直撞'，"里德說，"所有案例均在不到12小時內被發現。他們并不打算掩蓋蹤跡，也不試圖找到某個高價值目標后悄然撤離。核心就是速度——拼命抓取一切，然后迅速跑路。"

逾萬家組織受到波及

盡管這些攻擊并不精妙，卻仍積累了海量憑證——"數量之大，以至于攻擊者開始主動向其他多個威脅行為者尋求協助，共同處置這批被盜憑證，"卡馬卡爾說道。

據卡馬卡爾透露，TeamPCP共計竊取了逾1萬家組織的憑證，但這并不意味著他們已經入侵了同等數量的環境并實施了數據竊取或其他惡意行為。"逾萬家組織很可能已受到波及，"他說，"令人震驚的是，這些人從大量被攻陷的端點中成功獲取了數量如此龐大的憑證。"

卡馬卡爾認為該團伙的攻勢尚未終結。"只要他們持續利用這些憑證和密鑰，就很可能繼續入侵更多環境。隨著每一次新的入侵，他們又能獲取更多密鑰和憑證，如此循環往復，直到他們主動收手、執法部門介入，或遭遇其他形式的干擾為止。"

UNC1069對Axios發動的精密攻擊

就在Trivy事件發生兩周后，另一起供應鏈攻擊針對不同的開源庫接踵而至。

3月31日，npm生態中使用最為廣泛的HTTP客戶端庫之一Axios，在約三小時內淪為惡意軟件的傳播載體——攻擊者劫持了一名維護者的賬號，并將一個遠程訪問木馬（RAT）悄然植入兩個表面合法的版本發布中。

谷歌威脅情報小組（GTIG）將此次攻擊歸因于一個其追蹤代號為UNC1069的朝鮮關聯威脅行為者。

GTIG首席分析師約翰·赫爾特奎斯特（John Hultquist）表示："朝鮮黑客在供應鏈攻擊方面積累了豐富經驗，歷史上曾多次利用此類手段竊取加密貨幣。此次事件的完整影響范圍仍不明朗，但鑒于被攻陷軟件包的廣泛使用程度，我們預計其影響將相當深遠。"

Axios主要維護者賈森·薩曼（Jason Saayman）隨后發布了一篇詳細的事后復盤報告，指出此次攻擊手法與谷歌今年2月發布的關于UNC1069的分析報告高度吻合，即利用AI輔助的社會工程手段，針對加密貨幣公司實施定制化惡意軟件攻擊。

攻擊者冒充某公司創始人主動聯系薩曼，并提前創建了該真實公司及其創始人的數字克隆。他們還搭建了一個逼真的Slack工作區，配備完整的員工資料和帖子內容，并邀請薩曼加入。

"最初聯系的那位受害者收到了一份協作邀請，"里德說，"這本應是互聯網應有的運作方式：來自全球各地的兩個人共同協作，為更多人開發有價值的項目。但幕后操盤的，卻是朝鮮。"

在取得薩曼的信任后，攻擊者將其引導至一場Teams在線會議。然而當他嘗試加入時，Teams提示其軟件版本過舊，需要安裝更新才能繼續。薩曼在復盤報告中寫道："那個更新，就是遠程訪問木馬本身。"

該惡意軟件使UNC1069獲得了對薩曼機器的訪問權限，并借此向Axios項目推送了惡意更新。在約三小時的時間窗口內安裝了被污染軟件包的系統，均會下載一個竊取程序，該程序會將用戶的私鑰和憑證外泄至攻擊者控制的服務器。

受影響的下游用戶數量目前尚不明確。

比亞西尼表示："這是一次非常復雜精密的攻擊活動。攻擊者為攻陷這名特定受害者付出了大量心血，而且幾乎沒有任何跡象能讓受害者察覺到有什么不對勁。"

朝鮮犯罪團伙將開發者列為長期攻擊目標

多年來，朝鮮犯罪團伙持續將開發者及有意招募開發者的公司作為打擊目標，實施的國家支持的網絡攻擊行動涵蓋加密貨幣盜竊、勒索軟件與敲詐勒索攻擊，以及IT從業者身份欺詐等多種形式。近期，他們更開始直接針對開發者個人下手，以求職面試、在線會議等為誘餌，攻陷受害者設備并竊取憑證及加密貨幣錢包。

里德指出："朝鮮已經形成了一套深層次的認知飛輪——他們既有滲透進真實企業的IT工作者，也從技術層面深入理解了開發者環境的運作機制。從我們已掌握的情況以及我們對客戶的預警來看：這類事件會持續發生，不會停止。"

兩起供應鏈攻擊的共同啟示

這兩起供應鏈攻擊共同揭示了一個規律：攻擊者永遠會選擇阻力最小的路徑，無論是直接使用被盜憑證登錄，還是對開源項目的唯一維護者實施社會工程攻擊。

比亞西尼表示："他們意識到，與其費力地硬攻這些公司，不如去針對那一兩個維護某個支撐著整個互聯網運轉的開源軟件包的個人，這樣劃算得多。通過攻陷這些軟件包，他們就能在廣泛的領域創造出大量可乘之機。"

如果說這兩起事件還有什么積極意義，那便是它們"讓大家對這個所有人都正在面臨的被污染軟件包問題產生了廣泛的認知，"卡馬卡爾說，"這也重新引發了關于SBOM（軟件物料清單）的討論。"SBOM本質上是一份軟件組件的"成分清單"，涵蓋開源、第三方及自研代碼。

"最關鍵的一步，是搞清楚自己的風險究竟在哪里，"比亞西尼表示，"一旦供應鏈攻擊發生，你應該能夠迅速判斷：這個軟件包在我們的環境中被用在哪里？我們潛在的感染點在哪里？作為防御者，最重要的事情是確保你擁有這些SBOM，清楚地知道這些軟件包的分布情況，并盡可能快速地完成分級響應。"

比亞西尼還建議借助AI智能體來協助完成這項工作。"這正是發揮AI價值的絕佳場景，"他說，"開始部署AI智能體，用于識別這些開源項目在你們環境中的分布情況。"

關于快速檢測與主動防御

所有受訪安全專家均對上述供應鏈攻擊的快速檢測速度給予了肯定。"在大多數案例中，12小時以內，"里德說，"這些攻擊并沒有長期潛伏，悄無聲息地埋伏著。"

在供應鏈攻擊中，代碼被污染與被發現之間始終存在一段時間窗口，而這段窗口恰恰為組織提供了避免將惡意軟件下載到自身系統的機會。

"如果你在開發環境中設置一條規則，規定不下載任何發布時間不足24小時的版本，你就能完全繞過這些攻擊，"里德說，"這說起來簡單，但要持續執行卻相當困難——尤其是在負責財務的Jim也開始用Claude、人人都變成了開發者的今天。"

盡管如此，結合一定時間的延遲策略、SBOM管理、清楚掌握哪些軟件運行在哪些機器上以及密鑰的存儲位置，仍然能夠幫助組織更高效地"響應和優先級排序"，他補充道。

比亞西尼最后警告："社會工程攻擊不會消失，而且隨著深度偽造、聲音克隆和視頻克隆技術的發展，情況只會越來越糟。各組織現在就應該著手規劃安全口令、安全實物等身份驗證機制"——他所說的"實物"，是指你桌上的一件真實物品，可以在視頻通話中拿起來向對方證明你的身份。

"務必現在就建立好相應的應對機制，因為很快你就會在視頻通話中看到你的CEO或上司出現，要求你執行某項看似奇怪的指令。如果這些防護措施還沒有到位，到時候臨時搭建將會非常困難。"

Q&A

Q1：TeamPCP是如何通過Trivy發動供應鏈攻擊的？

A：TeamPCP于2月下旬入侵了Trivy，并于3月16日通過二進制文件、GitHub Actions和容器鏡像注入憑證竊取惡意軟件，大肆收割CI/CD密鑰、云端憑證、SSH密鑰及Kubernetes配置文件，同時在開發者機器上植入持久性后門。隨后，該團伙又利用從Trivy竊取的CI/CD密鑰，相繼攻陷了KICS、LiteLLM和Telnyx等開源項目，共計竊取了逾1萬家組織的憑證。

Q2：Axios供應鏈攻擊是怎么實施的，攻擊者用了哪些手段？

A：朝鮮關聯組織UNC1069冒充某公司創始人接觸Axios維護者賈森·薩曼，并創建了偽造的公司數字克隆和逼真的Slack工作區。取得信任后，攻擊者邀請薩曼參加Teams會議，會議中偽造"軟件更新"提示，誘導其安裝了遠程訪問木馬（RAT）。攻擊者隨后借此推送惡意Axios版本，在約三小時內竊取了下載被污染軟件包的用戶的私鑰和憑證。

Q3：企業如何防范開源供應鏈攻擊？

A：安全專家建議從以下幾點入手：一是建立SBOM（軟件物料清單），清楚掌握各開源組件在環境中的分布情況；二是在開發環境中設置延遲策略，避免自動下載發布時間不足24小時的新版本；三是部署AI智能體，快速識別受影響軟件包的使用范圍；四是一旦發生攻擊，能夠迅速完成分級響應，確定感染點。此外，還應針對日益猖獗的社會工程攻擊提前規劃安全口令和實物身份驗證機制。