90GB数据被公开叫卖,30个欧盟机构卷入同一波攻击。这个数字让最初"仅影响少数网站"的说法显得像乐观估计。
欧盟网络安全服务机构(CERT-EU)在更新通报中把矛头指向一个叫TeamPCP的威胁组织。这个名字此前几乎没人听说过,但他们干的事足够让安全圈清醒:把恶意代码塞进开发者每天用的工具里,像给自来水管投毒。
攻击路径:一次针对"信任链"的精准打击
TeamPCP的入口是Trivy——Aqua Security开发的开源安全扫描器,全球开发者用来检查代码漏洞。他们做了个恶意版本,混进正常的更新流。
开发者信任更新,自动拉取,运行。恶意版本随即窃取欧洲委员会的亚马逊云服务(AWS)API密钥,拿到钥匙后横向移动,控制更多关联账户。
亚马逊随后澄清:自家系统没被攻破,运作正常。问题出在供应链上游,那个被篡改的开源工具。
欧洲委员会确认,被盗AWS密钥被用于从云环境中窃取数据。受影响的是Europa网页托管服务的客户:42个内部机构,29个外部机构,总共71个客户的网站数据。
数据规模:从"有限泄露"到90GB公开
攻击发生在2025年4月初。最初通报轻描淡写,说"少量非敏感数据"被访问。两周后,暗网上出现90GB的数据包,标注来源正是这次事件。
公开样本包含内部邮件、技术文档、员工信息。有人开始分析这些文件的时间戳,发现攻击者至少在系统内潜伏了数周才被发现。
TeamPCP的作案手法并不新颖,但执行干净。他们没有用零日漏洞,没有暴力破解,只是利用了开源生态的一个基本事实:没人会逐行检查每次自动更新。
欧洲委员会的数据托管架构成了放大器。Europa服务集中托管大量机构网站,一把密钥能开多把锁。这种设计方便管理,也方便一次性失窃。
开源供应链:便利与风险的永恒张力
Trivy本身是个安全工具,这构成了某种讽刺。开发者用它找漏洞,结果它成了漏洞载体。
开源软件的信任模型建立在"众人审查"假设上,但现实中,关键项目的维护者往往只有几个人,更新频率高,用户习惯自动同步。恶意代码一旦进入发布管道,传播速度以小时计。
这次事件后,Aqua Security紧急撤销了相关版本,但损害已经扩散。欧洲委员会正在逐个通知71个受影响客户,评估各自的数据泄露范围。
有个细节值得玩味:TeamPCP选择的目标不是金融数据,不是核心数据库,而是网页托管服务。这些系统通常防护较弱,但信息价值不低——内部流程、人员往来、技术架构,都是后续攻击的拼图。
攻击者把90GB数据公开,而不是私下勒索。这种"炫耀式泄露"在近年黑客行动中越来越多见,动机混合了政治宣示、声誉破坏和干扰对手应急响应。
欧洲委员会目前拒绝透露是否有敏感政策文件或机密信息涉及。但30个机构的攻击面,90GB的样本量,已经足够让各成员国重新评估自己的云安全边界。
热门跟贴