TeamPCP 供應鏈攻擊:18 分鐘的毒 VS Code 套件,GitHub 3800 個庫遭竊、OpenAI Mistral 相繼中招
重點摘要
TeamPCP 組織用一個只活了 18 分鐘的毒 VS Code 擴充套件,讓 GitHub 損失 3,800 個內部庫、OpenAI 兩台設備遭入侵、Mistral 原始碼在暗網公開兜售。AI 開發環境已成高價值目標。
5 月 18 日中午 12 點 30 分,VS Code Marketplace 上出現 Nx Console 的更新版本,版本號 18.95.0,裡面藏著 TeamPCP 組織植入的憑證竊取程式。這個惡意版本只存活了 18 分鐘。
但 18 分鐘已經夠了。12 點 48 分,GitHub 某位工程師的電腦已經安裝了它。幾天後,GitHub 確認約 3,800 個內部程式庫被竊取,OpenAI 兩名員工設備遭入侵、部分原始碼存取憑證外洩,Mistral AI 的 npm 和 PyPI SDK 被植入後門,攻擊者隨即在暗網論壇上公開出售 Mistral 的程式碼庫。這場攻擊代號 Mini Shai-Hulud,執行者是被 Mandiant 追蹤為 UNC6780 的 TeamPCP 組織。
攻擊從 npm 生態開始
事情的起點是 5 月 11 日。TeamPCP 先滲透了前端框架 TanStack 的路由套件生態,在一次協調性操作裡讓 170 個以上的 npm 套件和兩個 PyPI 套件帶上惡意程式。
Mini Shai-Hulud 是一隻自我複製的蟲,流程拆開來看就是三步:竊取開發者的 CI/CD 憑證、用這些憑證發布新的受感染版本、再擴散到下一層。一旦進入 CI/CD 流水線,整個過程不需要人工介入。
Nx Console 是這條傳播鏈的一個節點。這套工具有 220 萬個安裝數,主要用戶是採用 Nx monorepo 架構的工程團隊。一名員工在公司設備上更新到 18.95.0,攻擊就完成了入口。
VS Code 擴充套件的先天問題
安全研究員 Charlie Eriksen 的說法很直接。VS Code 擴充套件安裝後可以存取開發者機器上幾乎所有東西,包括憑證、雲端金鑰和 SSH 金鑰,沒有瀏覽器擴充套件那種沙盒機制。這個信任結構本身就是設計缺陷,跟 2015 年前後瀏覽器擴充套件爆發過的同類型供應鏈攻擊,根本是同一個劇本換場景重演。
這次的惡意版本在啟動時靜默執行了一個 shell 指令,偽裝成例行的 MCP 設定任務,從一個已被入侵的 GitHub 庫下載惡意程式碼。攻擊目標很具體:1Password 保險庫、Anthropic Claude 設定檔、npm token、GitHub token、AWS 憑證。鎖定的全是現代 AI 開發者一定會有的東西。
三個受害者
GitHub:3,800 個內部程式庫被竊取。GitHub 確認沒有客戶資料外洩,受影響範圍僅限內部庫。但 GitHub 自家的工具程式碼和 CI/CD 設定落入攻擊者手中,對後續供應鏈攻擊有相當高的參考價值,這個成本要算進整個事件的真實傷害。
OpenAI:兩台員工設備遭入侵,少量憑證資料從部分內部原始碼庫外流。OpenAI 宣布將在 6 月 12 日撤銷 macOS 應用程式的程式碼簽名憑證,要求用戶重新安裝重新簽名的版本。
Mistral AI:npm 和 PyPI SDK 被植入後門,攻擊者在暗網論壇公開兜售 Mistral 程式碼庫。三家受害者裡,Mistral 的外洩後果最直接、最明確。
鎖定 Nx Console 的邏輯
TeamPCP 挑 Nx Console,不是看裝機數最多,看的是裝這套件的人是誰。Nx 在企業工程團隊中滲透率高,特別是同時維護多個服務的大型工程組織。這些工程師通常擁有較高的系統存取權限,設備一旦遭入侵,可進入的範圍遠比一般開發者廣。
220 萬安裝數只是規模指標,安裝這套件的人才是真正的目標篩選器。耐心型攻擊者選目標的方法,從來都不是看流量,而是看流量背後的權限結構。
對 AI 開發生態的提示
上週 Anthropic 公布 Project Glasswing 首月成果,Claude Mythos Preview 掃描 1,000 個開源專案找到超過一萬個高危漏洞,那是 AI 在防禦端的運用。TeamPCP 這場攻擊則說明了另一面,AI 公司的開發環境本身已經成為高價值目標,原始碼和 API 憑證落入攻擊者手中,對下一波供應鏈攻擊的破壞效果有放大作用。
對企業開發者來說,VS Code 擴充套件的安裝政策需要和第三方依賴管理享有同樣層級的安全審查。Marketplace 的審查機制抵擋不住 TeamPCP 這種耐心型攻擊者。下一個值得看的數字會是各大 AI 實驗室在 Q3 公布的開發環境治理改革方案,那才是這次事件真正會留下的長期變化。
如果這篇對你有幫助,訂閱電子報 可以第一時間收到 AI PM 實戰洞察與 GenAI 落地案例。
延伸閱讀:
- TeamPCP Wave Four 詳細分析(Help Net Security)
- GitHub 內部庫遭惡意 Nx Console 擴充套件入侵(The Hacker News)
- Project Glasswing 首月:Claude Mythos 找到一萬個高危漏洞