开源软件生态正在变成一场危险的游戏。臭名昭著的黑客组织TeamPCP联合暗网论坛BreachForums搞了个"竞赛"——谁感染的下载量多,谁拿走1000美元门罗币。这不是什么高端技术对决,而是一场精心设计的"人海战术"。

比赛规则简单粗暴。参赛者要用一款叫"Shai-Hulud"的开源攻击工具,往尽可能多的开源软件包里塞恶意代码。提交论坛账号和入侵证明就能报名。计分方式看每周和每月的下载量,而且允许把多个小包的下载数加总。这意味着什么?黑客会疯狂撒网,像蠕虫一样无差别扩散,根本不挑目标。

打开网易新闻 查看精彩图片

1000美元奖金低得可笑。成功的供应链攻击能搞到CI/CD密钥、云凭证、开发者令牌、企业源代码——这些东西在黑市上随便卖都不止这个价。安全专家一眼看穿:这是招新噱头,专门钓那些底层黑客。他们不在乎实际收益,只想要论坛上的声望和吹嘘资本。TeamPCP坐收渔利,让新手们去干脏活累活,自己白嫖整个被攻陷的基础设施。

这个组织的底细很清晰。他们长期盯着关键基础设施、GitHub Actions、Docker镜像、npm和PyPI这类包管理器。专挑已经有特权访问权限的安全工具下手,偷凭证再搞二次攻击。据Socket Research的消息,他们最近还跟勒索软件团伙Vect搭上了线,凭证盗窃已经波及AI公司、政府云服务、制造业和企业技术领域。

把Shai-Hulud开源放出来,等于把"访问代理"的管道无限延伸。1000美元确实吸引不了顶尖高手,但对开源维护者和企业安全团队来说,跟风模仿的攻击浪潮才是噩梦。每一个被感染的包,都可能成为下一波攻击的跳板。