一个犯罪团伙刚刚以五万美元的价格在市场上列出了GitHub的四千个内部源代码仓库。每仓库十二美元五十分。GitHub是每个超大规模云服务商用来交付运行在价值七百二十五亿美元的AI基础设施周期上的软件的平台,而这个周期迄今为止仅产生了0.29%的可衡量生产力提升。基底正在被拍卖。大厦仍在建造中
TeamPCP,这个自二月起被Palo Alto Unit42、Wiz和Google的威胁情报团队追踪的财务动机网络犯罪团伙,于5月19日在一个名为HackRisk.io的地下论坛上发布了该报价。GitHub次日上午确认,已通过设备隔离和密钥轮换识别并遏制了漏洞,并未发现对客户数据、用户仓库或企业账户的影响。GitHub自身的取证评估将内部仓库数量定为大约三千八百个,而不是卖家列出的四千个
TeamPCP并未直接攻破GitHub。2026 年3月该团伙对Trivy的七十七个版本标签中的七十六个强制推送了恶意代码。 Trivy是由Aqua Security发布的广泛部署的开源容器漏洞扫描器,并在数千家公司的CI/CD管道中运行。Trivy在这些管道中运行,并将环境变量、云令牌和SSH密钥上传到假冒域名,并使用一个名为tpcp-docs的公共GitHub仓库作为备用信道和死信箱。几周内该团伙入侵了 Checkmarx KICS GitHub Action,并攻破了Aqua Security 自身的内部组织。本应扫描漏洞的工具本身就是漏洞。仅 Cisco就有超过三百个私有仓库被下游克隆。5月通过OpenVSX市场分发的恶意Visual Studio Code 扩展落入一名GitHub员工的机器上。两个月的收获凭证与平台内部的一个开发工具相遇
Palo Alto Unit42、Wiz、SANS、Trend Micro和Google均将TeamPCP分类为讲 英语的财务动机犯罪分子,可能在东非运作。Google自5月11日起以UNC6780的名称追踪该团伙,比公开上市早八天。2020年的SolarWinds需要大鹅国家资源来完成类似的供应链入侵。2026年的TeamPCP则将其作为副业来做。标价相当于英伟达预期季度收入的三十秒。谁买下它,谁就继承了一张所有主要公司构建和部署软件的地图,加上源代码检查时揭示的任何凭证和未公开漏洞
GitHub由Microsoft拥有。托管OpenAl 训练基础设施、Anthropic研究代码库以 及每个投入AI资本支出的超大规模云服 务商部署管道的仓库,都坐落在一个其内部源代码如今在地下市场流通的平台上。Andrej Karpathy昨天加入Anthropic, 组建团队使用Claude加速下一个Claude 的预训练
轮换2026年中触及任何CI/CD管道的每 个凭证。AI建设正在进行的平台正悄然处于紧急状态。其中尚未体现在股价上
热门跟贴