黑客组织发起大规模投毒开源代码：波及数百机构

软件供应链攻击——黑客通过篡改合法软件隐藏恶意代码——曾是一种相对罕见但令网络安全界胆寒的威胁。

据了解，开源代码平台GitHub近期宣布其在一起软件供应链攻击中遭到黑客入侵。一名GitHub开发者在常用的代码编辑器VSCode中安装了一个“有毒”的扩展插件。该插件和GitHub一样，同属微软旗下。

TeamPCP在网络犯罪论坛BreachForums上发帖称：“我们今天在此出售GitHub的源代码和内部组织信息……主平台的一切都在这里，我很乐意向感兴趣的买家发送样本以验证绝对真实性。”

专注于软件供应链安全的公司Socket指出，仅在过去几个月，TeamPCP就发起了 20轮供应链攻击，将恶意软件隐藏在超过500个不同的软件中；若算上所有被其劫持的代码版本，总数则超过一千个。

面对TeamPCP掀起的恶意代码浪潮，如何安全使用开源软件成为难题。Wiz的Read建议采取“更新年龄门控”等防护措施——审查并安装安全更新，但对于新发布、可能恶意的代码，则暂缓立即更新。他举例说，在最近一次恶意更新中，Wiz在几分钟内就检测到供应链入侵并向客户发出警告，但许多软件用户已启用自动更新并下载了它。

Socket的Burckhardt总结道：在TeamPCP引发的供应链攻击流行中，开源用户需要采取“信任但验证”的措施，例如在网络中部署更新前分析其是否含有恶意软件，以及像Read建议的那样，在下载和运行代码前设置一个“冷静期”。“当它触及你的机器时，” Burckhardt说，“就已经太晚了。