近期,活躍於 npm 生態系統中的先進持續威脅組織 teampcp,公開接受安全機構的深度採訪,揭露了其長期隱蔽的供應鏈攻擊鏈。據該組織自述,他們已成功滲透超過一萬家企業的開發環境,竊取大量敏感資產,其中包括 3,800 個內部 github 程式碼倉庫。相關資料目前正於暗網上出售,最新價格已飆升至 95,000 美元。
值得注意的是,teampcp 並非傳統的黑帽駭客組織。早期,該團隊以白帽駭客身分活動,為多家公司提供漏洞發現服務。然而,在與某位客戶合作期間,他們遭遇嚴重的信任破裂(具體細節尚不明確,但疑似涉及付款違約或成果挪用等行為),此後便全面轉向灰帽活動。起初,其商業模式以散播勒索軟體為主;後來則演變為一種「低損害、高回報」的運作策略,專注於資料竊取與轉售,從而避開加密勒索攻擊所帶來的高追蹤風險與法律壓力。
針對開發者的實用防禦建議(聚焦於 teampcp 的攻擊特點):
1. 實施基於套件年齡的存取控制
惡意 npm 套件通常壽命極短,往往在發佈後數小時至兩天內即被從註冊表中移除。建議在 ci/cd 管道中強制執行套件年齡驗證,例如僅允許安裝已發佈至少七天的版本。未達此標準的套件應自動回滾至最近的合規版本,從源頭縮小攻擊窗口。
2. 強制進行哈希值驗證
將固定的套件內容哈希值(如完整性欄位)嵌入 package-lock.json 或其他依賴管理工具中,確保每次安裝都嚴格對應原始發佈的指紋。此措施可有效應對「同版本劫持」——一種極為隱蔽的攻擊手法,攻擊者會篡改現有套件內容,同時維持版本號不變。
3. 採用最小權限的憑證管理制度
嚴禁將高權限令牌用於自動化建構或部署。企業應建立分層的憑證管理架構,為 ci 系統、開發人員帳號及其他角色分配嚴格限制的權限範圍(例如僅授予 read:packages 權限,而不允許 delete_repo),從而大幅降低憑證遭竊時的橫向擴散能力。
4. 實施 ide 外掛程式白名單管控
ide 外掛程式是供應鏈攻擊的新入口。企業 it 部門必須對所有 ide 外掛程式進行集中審核與批准,禁用未經驗證的第三方外掛來源,優先採用經安全團隊審核通過的可信外掛套件,以阻斷惡意外掛注入的途徑。
5. 整合即時供應鏈威脅偵測
socket 平台目前在偵測與回應惡意 npm 套件方面居於業界領先地位,通常能在威脅發布後的 3–5 分鐘內識別並提取 ioc。teampcp 成員也證實,該平台是他們最難繞過的防禦層。建議企業將 socket 掃描深度嵌入 npm install 鈎子及 ci 管道,同時訂閱其公開威脅情資推送,以實現快速歸因與修復。
關於 github 數據交易的最新動態:
最初標價為 3,800 個內部儲存庫,金額為 5 萬美元,但目前最高的匿名出價已達 9.5 萬美元。這筆交易仍處於待決狀態,買家身分依然成謎——可能是尋求逆向工程洞見的競爭技術團隊,亦或是打算轉售牟利的地下數據掮客。無論動機為何,此事件再次凸顯核心研發資產正逐漸成為新興網路犯罪的首要目標。
