TeamPCP团伙频发供应链攻击，污染数百开源工具并入侵主流代码托管平台

软件供应链攻击——即攻击者通过篡改合法软件，在其中植入隐蔽的恶意代码——过去虽属小概率事件，却因其高度隐蔽性和广泛破坏力，长期被视为网络安全领域最令人警惕的风险之一。

时至今日，这一威胁已发生根本性转变。一个代号为TeamPCP的网络犯罪团伙，正以惊人的频率发动此类攻击，几乎每周都在开源生态中制造新的感染点。该组织已污染数百款广泛使用的开源工具，借勒索手段牟取非法利益，并在支撑全球数字基础设施的软件构建体系中，持续侵蚀开发者之间的基础信任。

近期，一家主流开源代码托管平台确认遭遇入侵。事件起因于一名开发者在常用代码编辑器中安装了一款被篡改的扩展插件。该编辑器与该托管平台同属一家科技企业旗下。

据TeamPCP在某知名网络犯罪论坛发布的声明，其声称已获取该平台约四千个代码仓库的访问权限。平台方后续核实确认，至少三千八百个仓库受到波及，且目前所发现的受影响代码均属于平台自身系统组件，未涉及用户托管的项目代码。

该团伙在论坛中公开兜售所谓“完整源代码包”及内部组织资料，并宣称：“主平台全部核心资产尽在此处，可提供样本供潜在买家验证真实性。”

此次事件并非孤立个案，而是TeamPCP持续数月、规模空前的软件供应链攻击浪潮中的最新进展。据一家专注供应链安全的技术公司统计，仅过去数月间，该团伙已发起二十轮以上针对性攻击，将恶意逻辑嵌入五百余款独立软件；若计入各软件不同版本的变体，受污染代码实例总数已逾千例。

在如此密集的攻击态势下，开源软件的安全使用正面临严峻挑战。有安全专家提出“更新年龄门控”策略：优先采纳经过时间检验的稳定更新，对刚刚发布、未经充分验证的新版本则暂缓部署。此前一次攻击中，监测系统在入侵发生数分钟内即完成识别并发出告警，但大量用户因启用自动更新机制，已在第一时间下载并执行了恶意代码。

另一家安全机构专家指出，在当前攻击常态化背景下，开源使用者亟需践行“信任但验证”的实践原则。具体包括：在将任何第三方代码部署至生产环境前，必须完成深度安全扫描；同时，在下载与运行新版本前设立合理缓冲期，确保有足够时间开展人工研判与自动化分析。“一旦恶意代码落地执行”，该专家强调，“防御窗口便已彻底关闭。”