开源安全工具的漏洞,往往比它检测的漏洞更致命。一个GitHub配置错误,让全球超过1000个SaaS环境成了攻击者的提款机。
这不是假设,是正在发生的事。
上周,开源漏洞扫描器Trivy遭遇供应链攻击。攻击者TeamPCP在版本0.69.4中植入恶意代码,开发者只要运行扫描,API密钥、云凭证、数据库密码就会悄无声息外泄。Mandiant Consulting CTO Charles Carmakal在RSA大会期间的Google活动上透露:「我们知道目前有超过1000个受影响的SaaS环境正在积极应对这一特定威胁。」他还补了一句:「这1000多个下游受害者可能会再扩展出500个、1000个,甚至10000个。」
漏洞2月就暴露,补丁从未真正落地
讽刺的是,这次攻击的种子早在三个月前就埋下了。
今年2月,同一批攻击者利用Trivy的GitHub Action组件配置错误,窃取了一个高权限访问令牌。安全研究员Paul McCarty上周发出警告时,这个安全问题从未被彻底修复。攻击者一直握着钥匙,只是等到上周才开门。
TeamPCP的手法很直接:推送恶意容器镜像和GitHub release包。开发者把Trivy嵌进CI/CD流水线做日常扫描,这本是标准操作,现在却成了自动泄露机密的通道。
更麻烦的是,攻击范围远不止Trivy一家。
AI中间件被卷入,36%云环境受波及
Google旗下安全公司Wiz发现,同一波供应链攻击还感染了liteLLM——一款AI中间件,存在于36%的云环境中。Wiz首席研究员Ben Read评价:「通过横向渗透攻击liteLLM这类覆盖超过三分之一云环境的工具,他们正在制造雪球效应。」
Read的描述很克制,但数据很刺眼。liteLLM是连接大模型和应用的管道,被感染意味着攻击者可以截获AI调用中的敏感数据,甚至篡改模型响应。
Carmakal透露,这些犯罪分子主要分布在美国、英国、加拿大和西欧。「他们以极其激进的勒索手段闻名,」他说,「声音很大,攻击性很强,未来几天、几周、几个月我们都会看到影响。」
而Read的观察更深层:「我们看到供应链攻击者与Lapsus$等高知名度勒索团伙之间出现了危险的融合。」
Lapsus$入场,勒索游戏升级
Lapsus$不是普通黑客组织。这个团伙曾攻破微软、英伟达、三星等巨头,擅长窃取源代码和机密数据后公开勒索。他们的特点是高调、快速、不讲武德——拿到数据直接发Telegram炫耀,不给赎金就公开。
现在,Trivy攻击者正在与这类团伙合作。Carmakal说的「声音很大,攻击性很强」,翻译过来就是:受害者会收到勒索信,数据会被挂到暗网,公司声誉会跟着崩盘。
攻击者在Telegram上公开喊话,计划继续针对更多热门开源项目。这不是偷完就跑,是系统性战役。
开源供应链的悖论在于:越流行的工具,攻击面越大。Trivy被广泛用于扫描漏洞,结果自己成了漏洞源头。liteLLM帮开发者简化AI接入,现在成了攻击者的跳板。开发者信任开源生态的「众目睽睽」,但「众目」往往看不见配置错误和权限泄露。
Wiz的统计显示,这次攻击的受害者数字还在膨胀。Carmakal的预测是保守估计——考虑到Trivy和liteLLM的渗透率,实际影响可能远超10000个环境。
安全团队现在面临两难:升级工具怕带毒,不升级怕漏扫。而攻击者正在利用这个窗口期,把窃取的凭证变现成勒索筹码。
据攻击者自己的Telegram消息,下一批目标已经圈定。开源项目的维护者们,大概正在检查自己的GitHub配置。
热门跟贴